Διοικητικό πρόστιμο 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Οργανισμό Αστικών Συγκοινωνιών Αθηνών (ΟΑΣΑ) για παραβίαση σειράς διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Πέραν του προστίμου, η Αρχή απηύθυνε επίπληξη στον Οργανισμό και έδωσε εντολή συμμόρφωσης για δύο από τις πλημμέλειες που διαπίστωσε.
Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ αναφορικά με την προστασία των προσωπικών δεδομένων που υφίστανται επεξεργασία στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (εφεξής ΑΣΣΚ), σύστημα το οποίο αναφέρεται και με τον όρο «ηλεκτρονικό εισιτήριο», υπό το πρίσμα των όσων η Αρχή είχε προδιαγράψει με την υπ’ αριθμ. 4/2017 Γνωμοδότησή της.
Ειδικότερα, η Αρχή, με τη Γνωμοδότηση 4/2017, είχε εκφράσει γνώμη επί της επεξεργασίας την οποία θα πραγματοποιούσε ο ΟΑΣΑ στο πλαίσιο του επικείμενου τότε συστήματος ηλεκτρονικού εισιτήριο, κρίνοντας ότι η νέα μορφή της εν λόγω επεξεργασίας, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει η Αρχή στη Γνωμοδότηση 1/2017. Ωστόσο, η Αρχή είχε επισημάνει ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ) την οποία ο υπεύθυνος επεξεργασίας όφειλε να εκπονήσει.
Από τον έλεγχο της Αρχής και την έρευνα που διεξήχθη με βάση τα στοιχεία που προσκομίστηκαν από τον υπεύθυνο επεξεργασίας προέκυψαν τα εξής ευρήματα:
1. Μη έγκαιρη εκπόνηση ΕΑΠΔ: Η εκτίμηση αντικτύπου ως προς την προστασία προσωπικών δεδομένων δεν ήταν διαθέσιμη κατά τη στιγμή του ελέγχου, αλλά υποβλήθηκε τελικά στην Αρχή μετέπειτα.
2. Μη εμπεριστατωμένο περιεχόμενο εκτίμησης αντικτύπου ως προς την προστασία προσωπικών δεδομένων: Η ΕΑΠΔ, η οποία υποβλήθηκε μετά τον έλεγχο, παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο. Επίσης, διαπιστώθηκε αναντιστοιχία μεταξύ της εκτίμησης αντικτύπου και του τεθέντος υπόψη της Αρχής αρχείου δραστηριοτήτων ως προς τις νομικές βάσεις της επεξεργασίας για τους διάφορους σκοπούς, η οποία δεν τεκμηριώνεται.
3. Χρόνος τήρησης των δεδομένων: Ο χρόνος τήρησης των δεδομένων στο πλαίσιο του ΑΣΣΚ δεν είχε καθοριστεί κατά τη στιγμή του ελέγχου. Μετά τον έλεγχο, επελέγη ως χρόνος τήρησης τα 20 έτη, για όλους ανεξαιρέτως τους σκοπούς του συστήματος, χωρίς διάκριση και χωρίς σχετική τεκμηρίωση.
4. Αρχείο δραστηριοτήτων επεξεργασίας: Οι σκοποί της εν λόγω επεξεργασίας δεν περιγράφονται στο αρχείο δραστηριοτήτων τόσο αναλυτικά όσο ο υπεύθυνος επεξεργασίας τους είχε περιγράψει αρχικώς στην Αρχή και όπως αυτοί περιγράφονται στις Γνωμοδοτήσεις 1/2017 και 4/2017 της Αρχής. Επίσης, δεν υπάρχει αντιστοιχία μεταξύ των σκοπών που περιγράφονται στο αρχείο δραστηριοτήτων και στη σχετική ενημέρωση η οποία παρεχόταν στα υποκείμενα των δεδομένων κατά την περίοδο εκείνη μέσω του διαδικτυακού τόπου του ΟΑΣΑ.

Η κρίση της Αρχής​ (αποσπάσματα)

1) Ως προς την καθυστέρηση υλοποίησης της Εκτίμησης Αντικτύπου:

16. Αναφορικά με την υλοποίηση της ΕΑΠΔ, ο ΟΑΣΑ επικαλείται για τους λόγους καθυστέρησης εκπόνησής της, μεταξύ άλλων, τη δυσκολία συγκέντρωσης πληροφοριών για το σύστημα από τους αναδόχους. Οι ανωτέρω όμως ισχυρισμοί, όπως προβάλλονται, δεν συνιστούν λόγο που δικαιολογεί την καθυστέρηση αυτή. Σημειώνεται ότι σύμφωνα με το άρθρο 28 του ΓΚΠΔ, «η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία: (…) στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία (…)». Ως εκ τούτου, ο υπεύθυνος επεξεργασίας θα έπρεπε να λάβει τα κατάλληλα μέτρα προκειμένου να διασφαλίσει την έγκαιρη εκπόνηση της εκτίμησης αντικτύπου ως προς τα προσωπικά δεδομένα, αλλά και την υλοποίηση των όποιων διορθωτικών μέτρων ενδεχομένως κατεδείκνυε το αποτέλεσμα της μελέτης, χωρίς να μπορεί η υποχρέωση αυτή να αρθεί λόγω δυσκολιών που απορρέουν ως προς τη συλλογή στοιχείων από τους εκτελούντες την επεξεργασία.

2) Ως προς το περιεχόμενο της επικαιροποιημένης ΕΑΠΔ:

17. Αναφορικά με το περιεχόμενο της επικαιροποιημένης ΕΑΠΔ, η οποία υποβλήθηκε μετά την ακρόαση του υπευθύνου επεξεργασίας ενώπιον της Αρχής, καίτοι είναι πράγματι βελτιωμένη σε σχέση με την αρχική της έκδοση (η οποία είχε υποβληθεί μετά τον επιτόπιο έλεγχο της Αρχής), παρατηρούνται τα εξής:

H νέα ΕΑΠΔ, αναφέρει ότι έχει ως βάση της τη σχετική μεθοδολογία της CNIL (με γενική παραπομπή στον ιστότοπο της CNIL). Ωστόσο, δεν φαίνεται να υπάρχει απόλυτη συμφωνία με τα βήματα που περιγράφονται σε σχετικά εγχειρίδια της CNIL που είναι διαθέσιμα στο διαδικτυακό της τόπο. Τούτο από μόνο του δεν συνιστά μεν ελλιπή εκπόνηση ΕΑΠΔ, αφού δεν υπάρχει υποχρέωση υιοθέτησης, από τον υπεύθυνο επεξεργασίας, κάποιας συγκεκριμένης μεθοδολογίας, ωστόσο, εξακολουθούν να υπάρχουν κάποια σημεία ασαφή ή και ελλείψεις ως προς την προσέγγιση που τελικά ακολουθήθηκε για την αποτίμηση των κινδύνων. Τα σημεία αυτά μπορούν να συνοψιστούν ως εξής:

α. Μη σαφής τεκμηρίωση του τρόπου υπολογισμού του εκάστοτε κινδύνου που αποτελεί έλλειψη άμεσα συνυφασμένη με τη μη σαφή τεκμηρίωση του προσδιορισμού τόσο της πιθανότητας επέλευσης του κάθε κινδύνου όσο και των σχετικών συνεπειών από την επέλευσή του (αναλυτικότερη τεκμηρίωση δίνεται στο εμπιστευτικό παράρτημα της παρούσας).

β. Ως άμεση απόρροια του ανωτέρω, φαίνεται ότι, αν και πράγματι λαμβάνονται μέτρα αντιμετώπισης για διάφορους κινδύνους τα οποία είναι προς τη σωστή κατεύθυνση, υπάρχουν ακόμα περιθώρια λήψης πρόσθετων μέτρων, ιδίως ως προς την αντιμετώπιση του κινδύνου της μη εξουσιοδοτημένης αντιστοίχισης των μετακινήσεων ενός επιβάτη με τον ΑΜΚΑ αυτού (αναλυτικότερη τεκμηρίωση δίνεται στο εμπιστευτικό παράρτημα της παρούσας). Ως εκ τούτου, τίθεται εκ των πραγμάτων ζήτημα μη πλήρους συμμόρφωσης με την αρχή της προστασίας των δεδομένων ήδη από το σχεδιασμό, βάσει του άρθρου 25 του ΓΚΠΔ.

γ. Δεν φαίνεται να έχει γίνει, εντός της ΕΑΠΔ, ορθή εκτίμηση της νομικής βάσης για τους διάφορους σκοπούς επεξεργασίας.

δ. Η ΕΑΠΔ δεν εξετάζει ζητήματα που άπτονται της διαφάνειας της επεξεργασίας αλλά και των λοιπών δικαιωμάτων των υποκειμένων των δεδομένων. Γενικότερα, η ΕΑΠΔ εστιάζει κυρίως σε ζητήματα ασφάλειας της επεξεργασίας και όχι τόσο σε λοιπούς κινδύνους προστασίας δεδομένων (π.χ. δεν εξετάζεται αν οι συμβάσεις με εκτελούντες την επεξεργασία αντιμετωπίζουν τους διάφορους κινδύνους κ.α., ενώ δεν παρέχει επαρκή τεκμηρίωση ούτε για το ζήτημα του χρόνου τήρησης των δεδομένων).

3) Ως προς τους χρόνους τήρησης των δεδομένων:

18. Αναφορικά με τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας, ο ΟΑΣΑ, ο οποίος δεν είχε προσδιορίσει χρόνους τήρησης των δεδομένων κατά τη χρονική στιγμή του επιτόπιου ελέγχου και, μετά τον έλεγχο, όρισε χρόνο τήρησης τα 20 έτη για όλα τα δεδομένα, ανεξαρτήτως των σκοπών επεξεργασίας, έχει προχωρήσει πλέον σε εξειδίκευση των χρόνων τήρησης για τους διάφορους σκοπούς επεξεργασίας δεδομένων –χωρίς να ισχύει πλέον το διάστημα της εικοσαετίας καθολικά για όλους τους σκοπούς. Ωστόσο, εν τέλει, φαίνεται ότι τα δεδομένα μετακινήσεων εξακολουθούν να τηρούνται για εικοσαετία, με το σκεπτικό ότι η τήρησή τους δικαιολογείται για φορολογικούς σκοπούς, «ενόψει –όπως αναφέρει ο ΟΑΣΑ στο υπόμνημά του- της εικοσαετούς παραγραφής που προβλέπεται για τις περιπτώσεις φοροδιαφυγής (άρ. 36 παρ. 3 του Ν. 4174/2013)». Τα παραδείγματα που αναφέρει δεν σχετίζονται με φορολογικές υποχρεώσεις του Οργανισμού αλλά με αιτήματα τα οποία μπορούν να υποβάλουν τα υποκείμενα των δεδομένων. Συγκεκριμένα, όπως αναφέρεται και στην επικαιροποιημένη ΕΑΠΔ, «ένας χρήστης είναι πιθανό να ζητήσει ανάλυση του ιστορικού των μετακινήσεών του – των συναλλαγών του. Παραδείγματος χάριν, εάν ένας επιβάτης παραπονεθεί για υπερβολική χρέωση κατά την επικύρωση της κάρτας του σε σταθμό ή όχημα, ο έλεγχος του ιστορικού μετακινήσεων είναι αναγκαίος για την επιβεβαίωση ή μη των ισχυρισμών του επιβάτη και εν τέλει την επίλυση του προβλήματος. Εξάλλου, ο χρήστης μπορεί να θεωρήσει ότι δικαιούται να αμφισβητήσει το τυχόν μηδενικό υπόλοιπο της κάρτας του ή οποιαδήποτε χρέωση-συναλλαγή, η οποία, πάντως, είναι ενδιαφέρουσα και από φορολογικής απόψεως». Όπως επισημάνθηκε και στο ιστορικό της παρούσας, ο ΟΑΣΑ δεν ανταποκρίθηκε σε νεότερο έγγραφο της Αρχής προκειμένου να παρέχει περισσότερες διευκρινίσεις επ’ αυτού εξηγώντας, μεταξύ άλλων, γιατί επελέγη ως χρόνος τήρησης των προαναφερθέντων δεδομένων η 20ετία με επίκληση εικοσαετούς παραγραφής σε περιπτώσεις φοροδιαφυγής χωρίς επίκληση συγκεκριμένης διάταξης, ενώ η διάταξη του άρθρου 36 παρ. 3 ν. 4174/2013, σύμφωνα με την οποία ήταν δυνατή η έκδοση πράξης προσδιορισμού φόρου σε περιπτώσεις φοροδιαφυγής εντός είκοσι ετών και την οποία επικαλέστηκε ο ΟΑΣΑ, έχει αντικατασταθεί με το άρθρο 32 παρ. 2 του ν. 4646/2019, με το οποίο η προθεσμία για την έκδοση της πράξης προσδιορισμού φόρου ορίζεται σε δέκα έτη.

4) Ως προς τη νομική βάση της επεξεργασίας:

19. Ο ΟΑΣΑ, για διάφορους σκοπούς επεξεργασίας, αναφέρει ως νομική βάση της επεξεργασίας τη διάταξη του άρθρου 6 παρ. 1 στοιχ. στ’ (τούτο ισχύει τόσο στην επικαιροποιημένη ΕΑΠΔ όσο και στο επικαιροποιημένο αρχείο δραστηριοτήτων επεξεργασίας, τα οποία υπέβαλε στην Αρχή σε συνέχεια των ευρημάτων του πορίσματος ελέγχου της Αρχής το οποίο του γνωστοποιήθηκε). Ωστόσο, για τους λόγους που εκτέθηκαν ανωτέρω, η εν λόγω νομική βάση δεν μπορεί να χρησιμοποιηθεί από τον ΟΑΣΑ, ο οποίος αποτελεί δημόσια επιχείρηση κοινωφελούς χαρακτήρα, που εποπτεύεται και ελέγχεται ιδιοκτησιακά από το κράτος. Άλλωστε η επίκληση από τον ΟΑΣΑ για ορισμένους σκοπούς επεξεργασίας ως νομικής βάσης της διάταξης του άρθρου 6 παρ. 1 στοιχ. ε’ (επεξεργασία απαραίτητη για την εκπλήρωση καθήκοντος που σχετίζεται με την άσκηση δημόσιας εξουσίας που έχει ανατεθεί), επιρρωνύει την άποψη ότι ο ΟΑΣΑ, ως δημόσια επιχείρηση κοινωφελούς χαρακτήρα, εντάσσεται στην έννοια των «δημοσίων αρχών», κατά την έννοια του άρθρου 6 παρ. 1 τελευταίο εδάφιο, πέραν της αντίφασης που υπάρχει με την ταυτόχρονη επίκληση ως νομικής βάσης του άρθρου 6 παρ. 1 στοιχ. στ’.

Εξάλλου, πρέπει να σημειωθεί ότι η αναγνώριση και επιλογή της κατάλληλης νομικής βάσης εκ των προβλεπομένων στο άρθρο 6 παρ. 1 ΓΚΠΔ είναι στενά συνδεδεμένη με την αρχή της θεμιτής ή δίκαιης επεξεργασίας καθώς και με την αρχή του περιορισμού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι μόνο να επιλέξει την κατάλληλη νομική βάση προ της έναρξης της επεξεργασίας, αλλά και να ενημερώσει, κατ’ αρ. 13 παρ. 1 εδ. γ’ και 14 παρ. 1 εδ. γ’ ΓΚΠΔ, για την χρήση της το υποκείμενο των δεδομένων, καθώς η επιλογή της κάθε νομικής βάσης ασκεί έννομη επιρροή στην εφαρμογή των δικαιωμάτων των υποκειμένων.

Επιπλέον, έκφραση της αρχής της νομιμότητας της επεξεργασίας είναι και η αρχή της διαφάνειας. Δυνάμει του άρθρου 5 παρ. 1 στοιχ. α’ ΓΚΠΔ, πέραν της απαίτησης τα δεδομένα να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία, η διαφάνεια περιλαμβάνεται ρητώς ως θεμελιώδης πτυχή αυτών των αρχών, συνδέεται δε εγγενώς τόσο με τη νομιμότητα όσο και με την αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας πρέπει να είναι πάντα σε θέση να αποδεικνύει ότι τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία με διαφάνεια όσον αφορά τα υποκείμενα των δεδομένων.

Συναφώς, δεν μπορεί μεν να αποκλεισθεί σε συγκεκριμένες περιπτώσεις το ενδεχόμενο παράλληλης – ταυτόχρονης εφαρμογής διαφορετικών νομικών βάσεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τούτο όμως είναι επιτρεπτό μόνο αν χρησιμοποιούνται στο σωστό πλαίσιο και ιδίως εφόσον εξυπηρετούν διαφορετικούς σκοπούς επεξεργασίας, ενώ για τον ίδιο σκοπό επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει εξ αρχής να επιλέξει μία συγκεκριμένη νομική βάση, την πλέον κατάλληλη σε σχέση με τον συγκεκριμένο σκοπό. Κατ’ αυτόν τον τρόπο, και τα υποκείμενα των δεδομένων γνωρίζουν επακριβώς, χωρίς να καταλείπεται αμφιβολία, την ορθή νομική βάση της εκάστοτε επεξεργασίας, ενώ και ο υπεύθυνος επεξεργασίας, ως προς το σκέλος αυτό, συμμορφώνεται με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 του ΓΚΠΔ, αφού, σύμφωνα με τη διάταξη αυτή, όπως προαναφέρθηκε, φέρει ο ίδιος το βάρος της επίκλησης και απόδειξης της νομιμότητας της επεξεργασίας, η οποία δεν προκύπτει, όταν παρουσιάζονται ταυτόχρονα δύο διαφορετικές νομικές βάσεις για τον ίδιο σκοπό επεξεργασίας.

5) Ως προς την ενημέρωση των υποκειμένων:

20. Αναφορικά με την ενημέρωση των υποκειμένων των δεδομένων για τους σκοπούς επεξεργασίας, έχει επικαιροποιηθεί η ιστοσελίδα του ΟΑΣΑ σύμφωνα με όσα αναφέρει ο οργανισμός στο υπόμνημά του (τελευταία πρόσβαση στην ιστοσελίδα του ΟΑΣΑ: 9/6/2023). Ωστόσο, για τους εξής σκοπούς επεξεργασίας: α) να είναι δυνατή η μελέτη ανωνυμοποιημένων στατιστικών δεδομένων από τον ΟΑΣΑ και από τρίτους, με τρόπο όμως που να μην δύνανται αυτοί να ταυτοποιήσουν το υποκείμενο των προσωπικών δεδομένων, β) να είναι δυνατή η διαχείριση των δικτυακών τόπων και της κάθε μορφής επικοινωνίας, γίνεται αναφορά, ως προς τις νομικές βάσεις για την επεξεργασία, σε τρεις νομικές βάσεις, αποτρέποντας με αυτόν τον τρόπο την ευχερή αναγνώριση της ορθής για τον κάθε σκοπό, σύμφωνα με όσα αναφέρονται ανωτέρω στη Σκέψη 19 – ενώ μία εκ των νομικών βάσεων είναι το έννομο συμφέρον του ΟΑΣΑ, η οποία, όπως προαναφέρθηκε, δεν μπορεί να έχει εφαρμογή στη συγκεκριμένη περίπτωση.
Οι διαπιστωθείσες παραβιάσεις

Με βάση τα ανωτέρω, η Αρχή διαπίστωσε τις κάτωθι παραβιάσεις:

α. Παράβαση του άρθρου 5 παρ. 1 στοιχ. ε’ του ΓΚΠΔ αναφορικά με την αρχή του περιορισμού του χρόνου αποθήκευσης.

β. Παράβαση του άρθρου 35 παρ. 1 του ΓΚΠΔ ως προς την εκπόνηση ΕΑΠΔ, αφού αυτή δεν είχε εκπονηθεί έγκαιρα (δεν ήταν διαθέσιμη κατά τη στιγμή του επιτόπιου ελέγχου – βλ. Εύρημα 1 του πορίσματος ελέγχου), ενώ και μετά την εκπόνησή της, αλλά ακόμα και μετά και τις διάφορες αναθεωρήσεις της, προκύπτει ότι δεν έχει εκπονηθεί κατά τρόπο τέτοιο ώστε να τεκμηριώνεται απόλυτα η αντιμετώπιση όλων των κινδύνων προστασίας δεδομένων. Περαιτέρω, και στην επικαιροποιημένη ΕΑΠΔ παρατηρείται προβληματική παράθεση των νομικών βάσεων.

γ. Παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ αναφορικά με την προστασία των δεδομένων ήδη από το σχεδιασμό, αφού, καίτοι έχουν πράγματι ληφθεί εκ σχεδιασμού μέτρα αντιμετώπισης διαφόρων κινδύνων, προκύπτει ότι υπάρχουν περιθώρια και για πρόσθετα μέτρα, για τα οποία δεν τεκμηριώνεται η μη αναγκαιότητα υλοποίησής τους τους.

δ. Παράβαση του άρθρου 30 παρ. 1 του ΓΚΠΔ αναφορικά με την ορθή τήρηση του αρχείου δραστηριοτήτων, αφού αυτό δεν ήταν ορθά συμπληρωμένο (υπήρχε ασάφεια στην περιγραφή των σκοπών επεξεργασίας, όπως περιγράφεται στο Εύρημα 4 του πορίσματος του ελέγχου).

Η ανωτέρω υπό στοιχ. δ’ παράβαση θεραπεύτηκε από τον υπεύθυνο επεξεργασίας, όπως προκύπτει από το υπόμνημα με τα συνοδευτικά αυτού έγγραφα που υποβλήθηκαν στην Αρχή μετά την ακρόασή του ενώπιον της Αρχής. Ωστόσο, στο επικαιροποιημένο αρχείο δραστηριοτήτων παρατίθενται -καίτοι δεν υπάρχει η σχετική υποχρέωση από τις προβλέψεις του άρθρου 30 του ΓΚΠΔ– οι αντίστοιχες νομικές βάσεις για τους διάφορους σκοπούς επεξεργασίας, για τις οποίες προκύπτει ασάφεια σύμφωνα με τα όσα περιγράφονται ανωτέρω στη Σκέψη 19, κατά παράβαση του άρθρου 6 παρ. 1 του ΓΚΠΔ αλλά και στην ενημέρωση που παρέχεται στα υποκείμενα των δεδομένων μέσω της ιστοσελίδας του οργανισμού. Ως εκ τούτου, η Αρχή επισημαίνει ότι ο ΟΑΣΑ θα πρέπει να προβεί στις κατάλληλες ενέργειες προκειμένου να είναι απόλυτα σαφές ποια είναι η ορθή νομική βάση για τον κάθε σκοπό επεξεργασίας που διενεργείται μέσω του ΑΣΣΚ, και τούτο θα πρέπει να παρέχεται ως ενημέρωση και στα υποκείμενα των δεδομένων.
Η απόφαση της Αρχής

Η Αρχή, λαμβάνοντας υπόψη τα παραπάνω:

α) Επιβάλλει, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» συνολικού ύψους 50.000 ευρώ, για την παραβίαση του άρθρου 5 παρ. 2 στοιχ. ε’ του Κανονισμού (ΕΕ) 2016/679.
β) Απευθύνει, με βάση το άρθρο 58 παρ. 2 β’ του Κανονισμού (ΕΕ) 2016/679, επίπληξη στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» για τις παραβιάσεις της διατάξεων του άρθρου 25 παρ. 1 και του άρθρου 35 παρ. 1 του Κανονισμού (ΕΕ) 2016/679.
γ) Δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», σύμφωνα με το άρθρο 58 παρ. 2 δ΄ του ΓΚΠΔ, προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός (1) μηνός, όλους τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ. Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή. Η σχετική ενημέρωση για τους χρόνους διατήρησης των δεδομένων, για τους διάφορους σκοπούς επεξεργασίας, θα πρέπει να παρέχεται και στα υποκείμενα των δεδομένων. Σε κάθε περίπτωση, για τον προσδιορισμό του χρόνου τήρησης των δεδομένων, ο ΟΑΣΑ θα πρέπει να εξετάσει αν το ενδεχόμενο ανωνυμοποίησης των δεδομένων επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου (ήτοι διαγραφή του μοναδικού αριθμού της κάρτας, με διατήρηση των λοιπών πληροφοριών όπως κατηγορία δικαιούχου, σημεία και χρόνοι επικύρωσης κτλ.), σε σύντομο χρονικό διάστημα από τη δημιουργία τους, επηρεάζει δυσμενώς τους λοιπούς σκοπούς επεξεργασίας με σχετική τεκμηρίωση σε καταφατική περίπτωση.