Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΕΡΩΤΗΜΑ: Ηλεκτρονική συσκευή λήψης υπογραφής


Υποβλήθηκε ερώτημα στην Επίτροπο από πολίτη σχετικά με το εάν η λήψη υπογραφής σε ηλεκτρονική συσκευή που χρησιμοποιείται από συγκεκριμένη εταιρεία courier για την επιβεβαίωση αποστολής/ παραλαβής φακέλου ή άλλου αντικειμένου συνάδει με τις πρόνοιες του Νόμου 138(Ι)/2001, ο οποίος εξέφρασε και τον προβληματισμό του κατά πόσο η υπογραφή που πλέον δεν είναι σε έντυπη μορφή αλλά σε ηλεκτρονική μπορεί να τύχει περαιτέρω επεξεργασίας από το ηλεκτρονικό σύστημα της εταιρείας.

Το Γραφείο μας διενήργησε έρευνα για να διαπιστώσει κατά πόσο η χρήση της ηλεκτρονικής συσκευής (πλακέτας) συνάδει με τις πρόνοιες του Νόμου 138(Ι)/2001 και ζητήθηκε από την εταιρεία να μας πληροφορήσει σχετικά με τον τρόπο που χρησιμοποιείται η συσκευή, το είδος των συσκευών, τα μέτρα ασφάλειας που λαμβάνουν ώστε να διασφαλίσουν ότι οι υπογραφές του αποστολέα και του παραλήπτη δε θα τύχουν οποιασδήποτε περαιτέρω επεξεργασίας και το χρονικό διάστημα που διατηρούνται οι υπογραφές στα συστήματα της.

Η συγκεκριμένη εταιρεία μας ενημέρωσε ότι προχώρησε σε χρήση προηγμένης τεχνολογικής λύσης για αναβάθμιση των υπηρεσιών της στους καταναλωτές/ χρήστες κατά την παράδοση και παραλαβή αποστολών, τεχνολογική εξέλιξη που έχει ήδη εφαρμοστεί με επιτυχία σε άλλες χώρες του εξωτερικού, στην Ευρωπαϊκή Ένωση αλλά και στις Η.Π.Α. Μας περιέγραψε λεπτομερώς την όλη διαδικασία λήψης και αποθήκευσης ψηφιακών δεδομένων μέσω εξειδικευμένης φορητής ηλεκτρονικής συσκευής (τύπου PDA) εξηγώντας μας τις δυνατότητες και τα τεχνικά χαρακτηριστικά των συγκεκριμένων ηλεκτρονικών συσκευών, καθώς και τον τρόπο με τον οποίο τις χρησιμοποιεί.

Ο υπάλληλος της συγκεκριμένης εταιρείας κατά την παράδοση/ παραλαβή κάποιου πακέτου ζητά από τον πελάτη να υπογράψει με ειδικό στυλό στην ηλεκτρονική πλακέτα και πληκτρολογεί το ονοματεπώνυμο του. Η υπογραφή και το ονοματεπώνυμο του παραλήπτη αποθηκεύονται ως φωτογραφία/ εικόνα σε βάση δεδομένων εντός του PDA σε κρυπτογραφημένη μορφή. Η χρήση των εικόνων με τις υπογραφές ελέγχεται περαιτέρω και με ειδικό υδατογράφημα (watermark), το οποίο εμπεριέχεται στην εικόνα που αποθηκεύεται ως φόντο (background) στην υπογραφή και αποτελεί ένα σώμα με την υπογραφή. Το υδατογράφημα περιέχει το είδος, την ημερομηνία και τον αριθμό αποστολής. Αυτά εξασφαλίζουν ότι η κάθε ψηφιακή υπογραφή θα εκτυπωθεί μόνο μια φορά για τη συγκεκριμένη αποστολή, αλλά και ότι δεν είναι εφικτή η χρήση της σε άλλες περιπτώσεις.

Ακολούθως με την επιστροφή του ο υπάλληλος στο κατάστημα μεταφέρει τις υπογραφές μέσω ασφαλούς σύνδεσης VPN (Virtual Private Network) στο κεντρικό σύστημα της εταιρείας σε βάση δεδομένων στην οποία τα δεδομένα αποθηκεύονται κρυπτογραφημένα. Μόνο σε δυο συγκεκριμένα κεντρικά συστήματα υπάρχει η δυνατότητα πρόσβασης στις εικόνες και μόνο μέσω ειδικής εφαρμογής. Η εφαρμογή αυτή λειτουργεί βάσει προδιαγραφών ασφαλείας που μπορεί να παρουσιάσει τις εικόνες με μορφή PDF (που μπορεί να εκτυπωθεί) μόνο μέσα σε περιεχόμενο Voucher και ποτέ ξεχωριστά.

Η εταιρεία διευκρίνισε τέλος ότι λαμβάνονται, επίσης, υψηλά μέτρα ασφάλειας που προστατεύουν την κεντρική βάση δεδομένων από εξωτερικούς παράγοντες και ότι ακόμα και τα αντίγραφα ασφάλειας της βάσης δεδομένων της διατηρούνται σε κρυπτογραφημένη μορφή. Οι υπογραφές διατηρούνται στα συστήματα της για περίοδο 6 μηνών.

Λαμβάνοντας υπόψη τη διαδικασία λήψης της υπογραφής από την ηλεκτρονική συσκευή και τα μέτρα ασφάλειας που λαμβάνονται από το σύστημα για την αποθήκευση των υπογραφών έτσι ώστε να προστατεύονται από παραπέρα αθέμιτη επεξεργασία, η Επίτροπος κατέληξε ότι η επεξεργασία στην οποία προβαίνει η συγκεκριμένη εταιρεία δεν παραβιάζει το Νόμο.

Back To Top