#KartaGate: Αδειάζει η κλεψύδρα, αμείλικτα τα ερωτήματα, αναμένονται απαντήσεις

Ποια είναι τα μέχρι στιγμής δεδομένα και ποια ερωτήματα αναμένεται να απαντηθούν στην τελική Απόφαση της Επιτρόπου Προστασίας Προσωπικών Δεδομένων για το #KartaGate.

Του Ξένιου Μεσαρίτη

Αδειάζει η κλεψύδρα και αναμένονται οι τελικές αποφάσεις της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τα εκτεθειμένα προσωπικά δεδομένα χιλιάδων φιλάθλων και το #KartaGate που έφερε στο φως της δημοσιότητας το Economy Today.

Ποια είναι τα μέχρι στιγμής δεδομένα και ποια ερωτήματα αναμένεται να απαντηθούν ενώ τελειώνει η διορία των εμπλεκομένων για να δώσουν τις δικές τους εξηγήσεις σχετικά με τις παραβιάσεις προσωπικών δεδομένων.

Διορία μέχρι σήμερα για εξηγήσεις

Στις 6 Αυγούστου η Επίτροπος Ειρήνη Λοϊζίδου ανακοίνωσε ότι οι εμπλεκόμενοι ενημερώθηκαν επιβεβαιώνοντας πώς διαπιστώθηκαν παραβιάσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων και ζητήθηκαν οι θέσεις τους, πριν γίνει η έκδοση των τελικών αποφάσεων.

Σύμφωνα με πληροφορίες του Economy Today σήμερα, 27 Αυγούστου, λήγει η διορία για τις ποδοσφαιρικές εταιρείες του ΑΠΟΕΛ και της Ομόνοιας αλλά και της αναδόχου εταιρείας των διαδικτυακών πλατφορμών πώλησης εισιτηρίων Hellenic Technical Enterprises για να παραδώσουν τις θέσεις τους ώστε να είναι εφικτή η έκδοση των τελικών αποφάσεων της Επιτρόπου για το θέμα των παραβιάσεων του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.

Τα δεδομένα του #KartaGate

Οι εν λόγω παραβιάσεις αφορούν σε κενό ασφάλειας το οποίο είχε ως αποτέλεσμα, μη εξουσιοδοτημένο πρόσωπο να μπορεί να ανακτά από την ιστοσελίδα Stadium360 στοιχεία χιλιάδων φιλάθλων (ονοματεπώνυμο, αρ. Κάρτας Φιλάθλου και αρ. Δελτίου Ταυτότητας), οι οποίοι είχαν αγοράσει εισιτήριο κατά τον ουσιώδη χρόνο της παραβίασης.

Επιπλέον, καταχωρώντας τα δύο τελευταία στοιχεία στην ιστοσελίδα του ΚΟΑ, το μη εξουσιοδοτημένο πρόσωπο, μπορούσε να δει και να κατεβάσει τις Κάρτες Φιλάθλου με την φωτογραφία του κάθε επηρεαζόμενου οπαδού.

Επίσης, στο ρεπορτάζ του Economy Today τέθηκαν και ερωτήματα για τους κατασκευαστές της πλατφόρμας Stadium360 αφού σύμφωνα με τις ανοικτές βάσεις δεδομένων δημιουργός της εταιρείας είναι η εταιρεία D.G.Techlink η οποία ανήκει στον Πρόεδρο και Αναπληρωτή Πρόεδρο της Ομόνοια Ποδόσφαιρο Λτδ, Σταύρο Παπασταύρου και Δημήτρη Γρηγόρη αντιστοίχως.

Οι παραβιάσεις των κανονισμών και τα αναπάντητα ερωτήματα

Το ψηφιακό σύστημα του ΚΟΑ

Η Επίτροπος Προσωπικών Δεδομένων είχε αναφέρει ότι «Παρόλο που διαπιστώθηκε, μετά από σχετικό έλεγχο και γραπτή αναφορά του ΚΟΑ προς το Γραφείο μου, ότι το σύστημα του ΚΟΑ που αφορά στην Κάρτα Φιλάθλου δεν είχε παραβιαστεί, εισηγήθηκα και έγινε αποδεκτό όπως εφαρμοστεί ασφαλιστική δικλίδα, ώστε η πρόσβαση και δυνατότητα λήψης της Κάρτας Φιλάθλου από τον κάτοχο της, ενισχυθεί περαιτέρω με την αποστολή και χρήση μοναδικού κωδικού ασφαλείας».

Ο ΚΟΑ με ανακοίνωσή του στις 6 Αυγούστου είχε αναφέρει ότι «συμφωνούν με τα ευρήματα της Επιτρόπου, ότι δηλαδή δεν διαπιστώθηκε παραβίαση του συστήματος έκδοσης Κάρτας Φιλάθλου και δεν υπήρξε πρόσβαση σε προσωπικά δεδομένα πλέον από αυτά που είχαν ήδη παραβιαστεί από τις ιστοσελίδες έκδοσης εισιτηρίων των επηρεαζόμενων ομάδων».

Επιπρόσθετα ο ΚΟΑ ανέφερε ότι προβαίνει σε συνεχείς ενέργειες αύξησης του επιπέδου ασφάλειας του συστήματος έκδοσης Κάρτας Φιλάθλου και σε αυτά τα πλαίσια θα προχωρήσει στην εφαρμογή επιπλέον μέτρων ασφαλείας, ώστε η πρόσβαση και δυνατότητα λήψης της Κάρτας Φιλάθλου από τον κάτοχο της να ενισχυθεί περαιτέρω με την χρήση μοναδικού κωδικού ασφαλείας, σύμφωνα και με τις συστάσεις της Επιτρόπου.

Ως εκ τούτου ερωτήματα προκύπτουν για το γεγονός ότι από τις 27 Ιουλίου είχαν κατεβεί οι πλατφόρμες πώλησης εισιτηρίων ώστε να διορθωθεί το κενό ασφαλείας των λογισμικών ενώ το σύστημα έκδοσης Κάρτας Φιλάθλου παραμένει με την ίδια μορφή χωρίς τις όποιες ασφαλιστικές δικλείδες.

Επίσης ερωτηματικά υπάρχουν και για το τι μέλλει γενέσθαι με τα δεδομένα που έχουν ήδη παραβιαστεί από τις ιστοσελίδες έκδοσης εισιτηρίων και με τα οποία ενδεχομένως να έχουν αντληθεί τα επιπρόσθετα δεδομένα από το σύστημα έκδοσης Κάρτας Φιλάθλου από τον ΚΟΑ.

Πέραν των γραπτών διαβεβαιώσεων του ΚΟΑ για αύξηση του επιπέδου ασφαλείας, παραμένει μετέωρο το πώς θα πραγματοποιηθεί η εφαρμογή των επιπλέον μέτρων ασφαλείας και τι ακριβώς θα περιλαμβάνει.

Σιγή ιχθύος για την εμπλοκή τρίτης εταιρείας

Όλες οι ενδείξεις στο διαδίκτυο δείχνουν ότι πίσω από την Stadium360 υπάρχει και άλλη εταιρεία πέραν της Hellenic Technical Enterprises και παραμένει μετέωρο το πώς εμπλέκεται η εταιρεία D.G.Techlink του Σταύρου Παπασταύρου και Δημήτρη Γρηγόρη στις διαδικτυακές πλατφόρμες πώλησης εισιτηρίων ΑΠΟΕΛ και Ομόνοιας.

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων και το Άρθρο 28 «Ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας».

Ως εκ τούτου θα πρέπει να εξεταστεί κατά πόσο η εμπλοκή της D.G.Techlink είχε γραπτή άδεια από τις δύο ποδοσφαιρικές εταιρείες ώστε να εμπλακεί στην δημιουργία της εν λόγω πλατφόρμας στην οποία υπήρχαν τα προσωπικά δεδομένα χιλιάδων φιλάθλων των δύο μεγαλύτερων ομάδων της Κύπρου.

Στο ίδιο άρθρο αναφέρεται ότι «ο εκτελών την επεξεργασία διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας».

Συνεπώς κατά την Έρευνα που διεξάγεται οφείλει να γίνει ξεκάθαρο ποιοι προγραμματιστές είχαν πρόσβαση στα προσωπικά δεδομένα, από ποια εταιρεία εργοδοτούνται και αν υπήρχε η όποια δέσμευση εμπιστευτικότητας που υποχρεώνεται από τον Κανονισμό.

Θα ενημερωθούν οι χιλιάδες φίλαθλοι;

Στην τελική απόφαση της Επιτρόπου για το #KartaGate αναμένεται να διαφανεί πόσα άτομα έχουν επηρεαστεί από τα κενά ασφαλείας του λογισμικού προγράμματος Stadium360.

Κατά την διερεύνηση του θέματος από την Επίτροπο, βάσει των κανονισμών και το άρθρο 33 περί «Γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή», τα εμπλεκόμενα μέρη έπρεπε μεταξύ άλλων να δώσουν «κατά προσέγγιση αριθμού των επηρεαζόμενων υποκείμενων των δεδομένων».

Μέχρι τώρα η μόνη επίσημη αναφορά που είχε γίνει ήταν από τον Νομικό του ΑΠΟΕΛ Χρήστο Τριανταφυλλίδη στην Πρώτη Εκπομπή του Ράδιο Πρώτο ο οποίος είχε κάνει λόγο για 96 άτομα που έχουν επηρεαστεί.

Στο αρχικό ρεπορτάζ του Economy Today είχε αποκαλυφτεί ότι πρόκειται για χιλιάδες φιλάθλους του ΑΠΟΕΛ και της Ομόνοιας των οποίων ήταν εκτεθειμένα τα προσωπικά δεδομένα ενώ είχε τονιστεί η ανάγκη ενημέρωσης όλων των επηρεαζόμενων.

Σύμφωνα με την παράγραφο 2 του άρθρου 34 που αφορά την «Ανακοίνωση παραβίασης προσωπικών δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων», η ανακοίνωση πρέπει να περιγράφει με σαφήνεια στα υποκείμενα των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και να περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 και σημεία β,γ και δ.

Τα σημεία β, γ και δ αναφέρουν ότι η γνωστοποίηση πρέπει κατ’ ελάχιστο να:

β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

Σημειώνεται ότι μετά το αρχικό ρεπορτάζ του Economy Today οι τεχνικοί της ομάδας της Επιτρόπου Προστασίας Προσωπικών Δεδομένων έχουν διερευνήσει και έχουν υπολογίσει πόσων φιλάθλων ήταν εκτεθειμένα τα προσωπικά δεδομένα κάτι που πιθανότατα να επηρεάσει και το μέγεθος των κυρώσεων που θα επιβληθούν.

Τίθεται θέμα φυσικής ασφάλειας των φιλάθλων;

Ενώ το ποδοσφαιρικό πρωτάθλημα έχει ξεκινήσει ενδεχομένως λόγω των προσωπικών δεδομένων που έχουν διαρρεύσει να υπάρχει και ζήτημα φυσικής ασφάλειας των φιλάθλων αφού μπορεί κάποιος να αποπειραθεί να εισέλθει στο γήπεδο χρησιμοποιώντας τα  δεδομένα τα οποία είχαν αποκαλυφθεί.

Σημειώνεται ότι με τα εκτεθειμένα ονοματεπώνυμα, αριθμούς ταυτότητας και τους αριθμούς κάρτας φιλάθλου μπορεί κάποιος να κατεβάσει την ψηφιακή κάρτα φιλάθλου αλλά και το QR Code με το οποίο μπορεί κάποιος να εισέλθει σε ένα γήπεδο.

Συνεπώς οι προεκτάσεις της διαρροής στην φυσική ασφάλεια των γηπέδων είναι ένα ερώτημα που πρέπει να απαντηθεί τις επόμενες μέρες ενώ σημειώνεται ότι η Έρευνα της Επιτρόπου Προστασίας Προσωπικών Δεδομένων βρίσκεται σε πλήρη εξέλιξη από τις 27 Ιουλίου.

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ