Πιο ξεκάθαρη την εικόνα σχετικά με το κατά πόσο προέκυψε διαρροή προσωπικών δεδομένων από κενό ασφαλείας στα συστήματα έκδοσης εισιτηρίων, έκανε η Ειρήνη Λοϊζίδου Νικολαΐδου.
Η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μίλησε στην εκπομπή «Alpha Ενημέρωση» και στο αρχικό σχόλιο της τόνισε ότι το πρόστιμο που επιβλήθηκε σε ΑΠΟΕΛ και Ομόνοια, αφορούσε στο κενό ασφαλείας, ενώ τόνισε ότι δεν υπάρχει τεκμηριωμένη διαρροή προσωπικών δεδομένων.
«Αυτό που βρέθηκε και για το οποίο εν τέλει επιβλήθηκε διοικητικό πρόστιμο είναι κενό ασφαλείας. Όπως διαπιστώθηκε και καταγράφεται στις αποφάσεις, δεν υπάρχει τεκμηριωμένη διαρροή προσωπικών δεδομένων. Αυτό όμως το οποίο έχουμε δώσει και εντολή εκεί που δεν έχει γίνει να γίνει, είναι να ενημερωθούν τα υποκείμενα των δεδομένων. Δηλαδή όσοι ήταν μέλη αυτών των συστημάτων έκδοσης εισιτήριων, να ενημερωθούν για το εν λόγω συμβάν χωρίς να σημαίνει ότι έχουν διαρρεψει τα προσωπικά τους δεδομένα».
Επιπλέον, ανέφερε το πως προέκυψε αυτό το κενό, δηλώνοντας ότι δεν τηρήθηκαν τα απαραίτητα μέτρα και ότι σε συγκεκριμένη χρονική περίοδο μπορούσε κάποιος να βρει τον αριθμό ταυτότητας αλλά και τον αριθμό κάρτας φιλάθλου του συγκεκριμένου οπαδού που προέβηκε σε αγορά εισιτηρίου.
«Εγώ ενημερώθηκα προσωπικά από δημοσιογράφο για το συγκεκριμένο κενό ασφαλείας και στη συνέχεια ελέγξαμε με τους τεχνικούς αν όντως ισχύει. Όντως διαπιστώθηκε το κενό ασφαλείας, στη συνέχεια γνωστοποιήθηκε από τα Σωματεία ότι δεν τηρήθηκαν τα τεχνικά και οργανωτικά μέτρα που επιβάλλει ο κανονισμός, προκειμένου να ήταν εκτεθειμένα τα προσωπικά δεδομένα των οπαδών. Δεν έγινε κάτι στη διαδικασία όπου θα έπρεπε να γίνει, προκείμενου να αποφευχθεί αυτό το κενό. Το κενό αυτό επέτρεπε σε συγκεκριμένη χρονική περίοδο, να βρει κάποιος τον αριθμό της ταυτότητας και τον αριθμό της κάρτας φιλάθλου του συγκεκριμένου οπαδού που προέβηκε σε αγορά εισιτηρίου».
Η κα. Λοϊζίδου ξεκαθάρισε ότι δεν έχει γίνει υποκλοπή και αναφέρθηκε στα πρόστιμα σε ΑΠΟΕΛ, Ομόνοια και ανάδοχο εταιρία αλλά και ποια ήταν η ευθύνη τους.
«Δεν έχει προκύψει υποκλοπή, αυτό πρέπει να το ξεκαθαρίσουμε. Η επιβολή του προστίμου δεν αφορούσε την υποκλοπή, αφορούσε σε διαπιστωμένο κενό ασφαλείας. Να ξεκαθαρίσουμε ότι ο λόγος που αναφερόμαστε σε αυτά τα δυο Σωματεία, είναι επειδή χρησιμοποιηουσαν τη συγκεκριμένη πλατφόρμα που διαπιστώθηκε το κενό. Να πούμε επίσης ότι το συνολικό πρόστιμο αφορά σε τρεις παραβιάσεις για τα Σωματεία και σε δύο παραβιάσεις για τον ανάδοχο. Διαφορετικές παραβιάσεις βρέθηκαν στην κάθε περίπτωση, διότι είναι διαφορετική και η ευθύνη. Είναι ευθύνη να θέτει το περίγραμμα της επεξεργασίας ο υπεύθυνος επεξεργασίας, όπου εδώ είναι τα Σωματεία, αλλά η εκτέλεση της όλης διαδικασίας με τη θέσπιση αυτών των μέτρων που θα απέτρεπαν τη ζημιά, είναι στον ανάδοχο».
Για τα εκτεθειμένα στοιχεία και το κατά πόσο μπορεί ο κόσμος να εξακριβώσει ότι δεν έχουν υποκλαπεί τα προσωπικά τους δεδομένα, η Επίτροπος Προστασίας είπε ότι δεν μπορεί κάποιος να γνωρίζει κατά πόσο κάποιος πρόλαβε να «κατεβάσει» τα δεδομένα.
«Μπορούσε κάποιος, αν είσαστε εσείς κάτοχος της κάρτας φιλάθλου, να βρει τον αριθμό ταυτότητας, τον αριθμό κάρτας φιλάθλου και να τη χρησιμοποιήσει στην ιστοσελίδα του ΚΟΑ, όχι στο μητρώο, για να αποκομίσει και τη φωτογραφία σας. Το σύστημα κατέβηκε αμέσως με δική μας παρέμβαση και είχαμε άμεση συνεργασία με τα Σωματεία και την ανάδοχη εταιρία, επομένως εκεί περιορίστηκε η ζημιά. Στη συνέχεια έχουν υποβληθεί πολλές εισηγήσεις από μέρους του ΚΟΑ, ακριβώς για να προλάβει οποιαδήποτε τέτοια υποκλοπή. Δεν μπορούμε να γνωρίζουμε αν κάποιος κατέβασε τα δεδομένα και αν τα χρησιμοποίησε. Όλες οι απαραίτητες ενέργειες από μέρους των Σωματείων έχουν γίνει, εξού και επανενεργοποιήθηκε η συγκεκριμένη πλατφόρμα».
Τέλος, για τις απαραίτητες ενέργειες που μπορούν να γίνουν στο μέλλον για να αποφευχθούν παρόμοια περιστατικά η κα. Ειρήνη Λοϊζίδου Νικολαΐδου έριξε το «μπαλάκι» στον ΚΟΑ.
«Θα γίνει από τον ΚΟΑ για να αποτρέψει κάτι παρόμοιο στο μέλλον. Δεν θα μπορούσε όμως να κάνει κάτι άλλο, από τη στιγμή που ο οποιοσδήποτε παρουσιαζόταν στην ιστοσελίδα του ΚΟΑ, παρουσιαζόταν ως ο ίδιος ο φορέας των δεδομένων, δηλαδή το σύστημα δεν αναγνωρίζει ότι εσείς χρησιμοποιούσατε τα δικά μου δεδομένα. Άρα δεν μπορούσε ο ΚΟΑ να γνωρίζει αν αυτό ήταν προϊόν υποκλοπής ή αυτό ήταν από τον ίδιο τον χρήστη. Θα γίνουν τώρα κάποιες ενέργειες ακριβώς για να μην υπάρχει καμιά αμφιβολία για αυτούς που ήταν εκτεθειμένοι».
