ÚOOÚ smetl ze stolu stížnost IuRe na ochranu osobních údajů na Plzeňské kartě

Úřad pro ochranu osobních údajů nevidí problém v nedostatečném zabezpečení Plzeňské karty. Prolomení ochrany osobních údajů na kartě prostřednictvím mobilního telefonu, jak na něj upozornil server Mobil.cz a které přiznali i samotné Dopravní podniky města Plzně, nevykládá Úřad jako porušení zákona o ochraně osobních údajů. Výsledek prošetření podnětu přitom přišel už čtvrtý den po jeho podání. Zřejmě je třeba počkat, až se někomu data skutečně ztratí a potom bude problému věnovaná dostatečná pozornost. IuRe s tímto postupem nesouhlasí a podalo proto 7. července žádost předsedovi ÚOOÚ o prošetření způsobu vyřízení stížnosti.
 
IuRe podalo 6. května podnět k prošetření zabezpečení osobních údajů na Plzeňské kartě. Už 10. května přišla z ÚOOÚ odpověď podepsaná ředitelem odboru pro styk s veřejností JUDr. Zdeňkem Koudelkou s tím, že „případ prolomení ochrany osobních údajů prostřednictvím mobilního telefonu ani jiné podložené podezření z porušení zákona není doloženo. Společnost má Úřadem dnem 25. listopadu 2005 pod reg. číslem subjektu 00005342 registrováno zpracování evidence držitelů městské čipové karty a ani v rámci registračního řízení nebylo takové podezření zjištěno.“
 
Plzeňská karta přitom využívá čipovou technologii Mifare Classic, která již byla opakovaně v minulosti prolomena. První případ prolomení zabezpečení přímo Plzeňské karty, jak přiznávají představitelé správce osobních údajů Plzeňských městských dopravních podniků, a.s., je z roku 2009. V průběhu roku 2008 již přitom byla po řadě útoků (včetně útoků na podobné karty – např. londýnská Oystercard, pražská Opencard) na čipové karty s čipem Mifare Classic tato technologie nahrazována technologiemi modernějšími. Například v případě pražské karty Opencard byla tato technologie právě z důvodu nebezpečí prolomení ochrany osobních údajů nahrazena v roce 2008 novou technologií Mifare Desfire. Toto nicméně bylo ze strany správce osobních údajů, kterým je společnost Plzeňské městské dopravní podniky, a.s., ignorováno a do karty byla navíc integrována například funkce elektronické peněženky.
 
Z pohledu IuRe je nedostatečné zabezpečení údajů rizikové zejména z toho důvodu, že osobní údaje (datum narození, jméno uživatele, číslo karty) lze číst bez vědomí uživatele osobní údaje z karty prostřednictvím mobilního telefonu podporujících technologii NFC například přiblížením přístroje ke kartě v dopravním prostředku. Prodej těchto telefonů přitom podporuje ve spojení se společností Telefónica O2 právě správce osobních údajů. To, že je toto nebezpečí správci osobních údajů známo, lze doložit i nabídkou hliníkových pouzder, které mají těmto útokům zabránit.