Инспекция по защите данных выявила в системе зеленых карт ряд недостатков

В ходе надзорного производства был проведен контроль безопасности хранения данных и времени хранения. В проверке принимали участие эксперты Департамента государственной инфосистемы Эстонии и Центра инфосистем.

В базе данных Таллиннской билетной системы общественного транспорта хранятся данные проездных, имена людей, на которых проездные зарегистрированы, личные коды этих людей, также данные тех, кто покупали билеты другим лицам, данные об основаниях для льгот, данные о поездках (линия, остановка, время валидирования зеленой карточки), в определенных случаях также адрес электронной почты и номер телефона пассажира либо покупателя билета.

В ходе проверки было обнаружено, что меры безопасности при хранении данных не были достаточными. Также эксперты постановили, что 7-летний срок хранения этих данных в базе ничем не обоснован.

Таллиннский транспортный департамент как учреждение, которое содержит эту базу данных, ограничил срок хранения подобной информации. Данные о месте начала маршрута будут теперь храниться только до следующего валидирования карточки, но не дольше 7 дней.

В целом же данные о валидировании карточки (информация о проездном и номер линии) будут храниться 2 года на случай возможного производства о проступке либо жалобы клиента.

В билетной системе определены и основания для льготного проезда. Контролеры видят теперь не конкретное основание, а лишь ответы "да" или "нет" на вопрос о наличии льготы.

Надзорное производство инспекция начала в январе, поскольку утвержденная 21 сентября прошлого года билетная система не была согласована. Теперь инспекция ждет, что Таллиннский транспортный департамент быстро доведет вопрос согласования до конца.

"При создании сложных инфосистем надо всегда начинать с основательного технического и правового анализа", — считает директор по надзору Инспекции по защите данных Андрес Оявер.