Latest News

Τρίτη 17 Οκτωβρίου 2023

ΟΑΣΑ: Πρόστιμο 50.000 ευρώ από την Αρχή Προστασίας Δεδομένων

 Στην επιβολή προστίμου 50.000 ευρώ στον ΟΑΣΑ, για το σύστημα επεξεργασίας στο πλαίσιο του ηλεκτρονικού εισιτηρίου... προχώρησε η Αρχή Προστασίας Προσωπικών Δεδομένων.

Συγκεκριμένα, έπειτα από επιτόπιο έλεγχο στον Οργανισμό, διαπίστωσε σωρεία παραβιάσεων ως προς την επεξεργασία προσωπικών δεδομένων.

Παράλληλα η Αρχή, πέρα από την επιβολή προστίμου, έδωσε εντολή συμμόρφωσης του Οργανισμού αναφορικά με τον προσδιορισμό των χρόνων τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας, αλλά και για αναθεώρηση της εκτίμησης αντικτύπου ως προς τα προσωπικά δεδομένα. 

Υπενθυμίζεται ότι ήδη από το 2017 η Αρχή Προστασίας Προσωπικών Δεδομένων είχε κρίνει ότι η νέα μορφή επεξεργασίας, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει με γνωμοδότησή της.

Ωστόσο, με την ίδια γνωμοδότηση έκρινε ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες επιπλέον τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων την οποία ο υπεύθυνος επεξεργασίας οφείλει να εκπονήσει και η οποία θα πρέπει να αποτυπώνεται σε εγκεκριμένο, από τη διοίκηση του ΟΑΣΑ, έγγραφο.

Με την τωρινή απόφαση η Αρχή δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός μηνός, όλους τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ.

«Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή» υπογραμμίζεται στην απόφαση.

Πιο αναλυτικά, με την απόφαση η Αρχή Προστασίας Δεδομένων:

  • Επιβάλλει, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» συνολικού ύψους 50.000 ευρώ, για την παραβίαση του άρθρου 5 παρ. 2 στοιχ. ε’ του Κανονισμού (ΕΕ) 2016/679.
  • Απευθύνει, με βάση το άρθρο 58 παρ. 2 β’ του Κανονισμού (ΕΕ) 2016/679, επίπληξη στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» για τις παραβιάσεις της διατάξεων του άρθρου 25 παρ. 1 και του άρθρου 35 παρ. 1 του Κανονισμού (ΕΕ) 2016/679.
  • Δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», σύμφωνα με το άρθρο 58 παρ. 2 δ ́ του ΓΚΠΔ, προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός (1) μηνός, όλους τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ. Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή. Η σχετική ενημέρωση για τους χρόνους διατήρησης των δεδομένων, για τους διάφορους σκοπούς επεξεργασίας, θα πρέπει να παρέχεται και στα υποκείμενα των δεδομένων. Σε κάθε περίπτωση, για τον προσδιορισμό του χρόνου τήρησης των δεδομένων, ο ΟΑΣΑ θα πρέπει να εξετάσει αν το ενδεχόμενο ανωνυμοποίησης των δεδομένων επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου (ήτοι διαγραφή του μοναδικού αριθμού της κάρτας, με διατήρηση των λοιπών πληροφοριών όπως κατηγορία δικαιούχου, σημεία και χρόνοι επικύρωσης κτλ.), σε σύντομο χρονικό διάστημα από τη δημιουργία τους, επηρεάζει δυσμενώς τους λοιπούς σκοπούς επεξεργασίας με σχετική τεκμηρίωση σε καταφατική περίπτωση.
  • Δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», σύμφωνα με το άρθρο 58 παρ. 2 δ ́ του ΓΚΠΔ, προκειμένου, εντός τριών (3) μηνών, να αναθεωρηθεί η εκτίμηση αντικτύπου ως προς τα προσωπικά δεδομένα σύμφωνα με τα όσα διαλαμβάνονται στην παρούσα, καθώς επίσης και να υλοποιηθούν στο πλαίσιο αυτό όποια πρόσθετα μέτρα κριθεί, εκ του αποτελέσματος της αναθεώρησης αυτής, ότι είναι αναγκαία για την αντιμετώπιση των διαφόρων κινδύνων, λαμβάνοντας υπόψη τα όσα διαλαμβάνονται στη Σκέψη 17 της παρούσας.