Opencard

Opencard je nová víceúčelová čipová karta, která má od roku 2010 plně nahradit jízdenku v prostředcích PID. Protože v současné době dochází k její masové propagaci a distribuci, Iuridicum Remedium se snaží zajistit takové podmínky jejího fungování, které co nejméně ohrozí soukromí obyvatel Prahy. IuRe především kritizuje povinnost vydávat osobní údaje při registraci, bez ohledu na to, jaké služby chce žadatel užívat. K opatrnosti nabádá již fakt, že karta funguje na bázi bezkontaktního čipu, jenž umožňuje čtení uložených dat na dálku, aniž by bylo nutné brát v potaz souhlas držitele.

IuRe hledá jinou cestu

Pokud chceme minimalizovat riziko zneužití osobních údajů, musíme minimalizovat jejich sdělované množství na skutečně nezbytnou míru. Jedině tak se lze vyvarovat škod  plynoucích ze selhání lidského faktoru, aktuálního či budoucího zneužití. Vzhledem k tomu, že většina současných i plánovaných služeb může fungovat v anonymním prostředí, není dle názoru IuRe pro výdej karty nutné, aby žadatel sděloval magistrátu jako vydavateli opencard jakékoli osobní údaje.
 
V souvislosti s plány na znovuzavedení turniketů v metru je riziko monitorování pohybu konkrétních osob vyvratitelné pouze zavedením anonymních karet. Karta samotná by měla být ve své digitální podobě úplně anonymní, tím by se centrální evidence osobních údajů stala zbytečnou. Přípustná je pouze vizuální autentifikace karty formou potisku (např. umístěním fotografie držitele), jež by zabránila zneužití půjčováním jízdenek v rámci PID.
 
Kromě hlavního požadavku anonymní nediskriminační opencard IuRe aktuálně jedná s představiteli projektu opancard o požadavku na automatické mazání osobních údajů držitele karty z evidence po skončení její platnosti. Dnes se údaje uchovávají dalších pět let, aniž by byl znám rozumný důvod. Dále také požadujeme zaručení bezprostředního výmazu informací o použití karty z databází jednotlivých aplikací, pokud takové informace neobsahují údaje svědčící o porušení podmínek držitelem karty.
 

Čím méně údajů, tím lépe

V současné době jsou údaje na kartě ukládány ve dvojí podobě. Jednak se jedná o údaje dostupné aktivací bezkontaktního čipu (datum narození), jednak údaje, jež jsou uložené v zašifrovaných souborech, které provozovatelé jednotlivých aplikací používají pro zpřístupnění vlastních služeb. Tito provozovatelé mají přístup pouze k informacím uloženým ve svém souboru, přičemž v každém souboru jsou uložené informace různé kvantity i kvality. Co do počtu uchovávaných osobních údajů se nejnáročnějším provozovatelem jeví Městská knihovna, která ve své databázi uchovává například jméno, příjmení, bydliště, druh a číslo dokladu pro ověření totožnosti a záznam o veškerých transakcích, jež držitel karty v síti jejích poboček uskutečnil. PID zpracovává číslo karty, datum narození držitele a údaj o platnosti zakoupeného časového kupónu.
 

Žádná databáze, dobrá databáze

Základním principem správy databází kartových aplikací by měla být jejich oddělenost. Provozovatel jedné aplikace by neměl mít přístup k datům z databáze jiného poskytovatele nebo centrální evidence magistrátu. Oddělení databází je významným prostředkem pro snížení rizika sledování pohybu a činnosti konkrétních osob a příp. zneužití shromážděných osobních údajů. Dle informací magistrátu by toto mělo být zaručeno. Určité obavy v tomto směru může vzbuzovat fakt, že magistrát je jak vydavatelem opencard spravujícím centrální databázi držitelů, tak provozovatelem některých aplikací (Parkování, Vím, jak řídím). Navíc hlavní technický realizátor projektu společnost Haguess, a.s., zajišťuje zpracování údajů jednotlivých databází pro všechny poskytovatele kartových služeb kromě Městské knihovny. V současné době plánuje magistrát převod databáze vlastníků karet nově vzniklé dceřiné společnosti Dopravního podniku hlavního města Prahy.
 

Soukromí za příplatek

Pro získání karty je nutné, aby žadatel na jednom z kontaktních míst odevzdal vyplněnou Žádost o vydání karty, pro jejíž uznání musí zadat tyto osobní údaje: jméno, příjmení, bydliště, druh a číslo dokladu pro ověření totožnosti, pohlaví, číslo karty opencard, evidenční číslo žádosti, fotografii a podpis. Svým podpisem dále stvrdí, že souhlasí se zpracováním osobních údajů nejen po dobu platnosti opencard, ale také po dobu následujících pěti let. Pokud se později rozhodne svůj souhlas odvolat, magistrát platnost jeho karty zruší. Bývalému držiteli pak nezbývá jiná obrana, než stížnost při Úřadu na ochranu osobních údajů nebo civilní žaloba. Od prosince 2008 na základě tlaku IuRe magistrát hl.m. Prahy začal vydávat také anonymní karty, ovšem s poplatkem 200 Kč a navíc s podstatně vyšší cenou i za kupon MHD. Za ochranu soukromí si tak Pražané musí připlatit. V současnosti magistrát připravuje třetí typ karty, tzv. anonymní personalizovanou opencard. I přes opakované žádosti IuRe o bližší informace o této kartě magistrát zatím podrobnosti o chystaném typu karty nezveřejnil.
 

Odůvodněné obavy

Přestože projekt opencard působí slibně, člověk musí ohledně ochrany svých osobních údajů zachovávat maximální míru obezřetnosti. Je to na místě zvláště s přihlédnutím k historii projektu. Opencard má totiž od počátku s ochranou soukromí osob problémy. V dubnu 2007 IuRe veřejnost upozornilo, že na bezkontaktním čipu karty jsou bezdůvodně umístěné prakticky všechny osobní údaje, které držitel odevzdal při registraci. Čip karty byl navíc nedostatečně zabezpečen, neboť bylo ponecháno nastavení jeho přístupového klíče v původním firemním zadání běžně dostupném na internetu.
Magistrát následně přistoupil na výzvu IuRe k výměně celého čipu za model, který lépe splňuje bezpečnostní požadavky moderní elektronické společnosti. Hlavně však odstoupil od praxe uchovávání osobních údajů na čipu karty v nezašifrované podobě – zůstává pouze datum narození držitele, údajně kvůli ověření věku žadatele o slevový kupón PID.

ÚOOU: Kartu lze zablokovat i bez existence databáze držitelů

Úřad pro ochranu osobních údajů prováděl v roce 2008 kontrolu Hlavního města Prahy ohledně zpracování osobních údajů při vydávání a provozu opencard. Ja uvádí ve své výroční zprávě za rok 2008, kontrolu se mu zatím nepodařilo dokončit, protože v jejím průběhu došlo k nárůstu počtu aplikací pro využívání opencard. Především jejího využití v MHD a příměstských linkách.
I přesto už v průběhu kontroly Úřad odvodil, „…že ani při rozhodování o zavedení nové technologie, ani při zpracování projektů, nejsou zahrnuty povinnosti, vyplývající ze zákona o ochraně osobních údajů.
Teprve v průběhu kontroly jsou následně, a často násilně, vymýšleny rozličné důvody, proč jsou osobní údaje klientů zpracovávány a zpětně „šroubovány“ do celého informačního procesu.
Na základě zjištění, že karta je využívána v rozporu s přepravním řádem, lze následně provést její zablokování. Ke zjištění, zda držitel karty je oprávněným, či není oprávněným držitelem karty, tedy není nutné vést databázi všech osob, kterým byla karta vydána.“
ÚOOU, Výroční zpráva 2008, str. 64, odst. II.