Εράνισμα προσωπικών δεδομένων – 17/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 2/09/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Δ.Δ.Η.Ε. – Μέσα κοινωνικής δικτύωσης
Για παραβίαση λογαριασμών σε μέσα κοινωνικής δικτύωσης ενημερώνει τους πολίτες η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Όπως επισημαίνεται, σε αυτήν καταγγέλθηκαν κατά την περίοδο του καλοκαιριού περιπτώσεις αλίευσης των στοιχείων εισόδου, με πρόσχημα την επίσημη πιστοποίηση των λογαριασμών («verify account – bluetick»). Ειδικότερα, οι δράστες αποστέλλουν άμεσο μήνυμα στο οποίο αναφέρουν ότι προκειμένου να ολοκληρωθεί η διαδικασία πιστοποίησης του εκάστοτε λογαριασμού, ο χρήστης πρέπει να επισκεφθεί την ιστοσελίδα που του υποδεικνύεται. Επισκεπτόμενος την εν λόγω ιστοσελίδα, αυτός καλείται στη συνέχεια να συμπληρώσει τα στοιχεία εισόδου του στον λογαριασμό. Έτσι όμως, οι δράστες αποκτούν τα στοιχεία εισόδου του χρήστη και πρόσβαση στον λογαριασμό του. Ακολούθως, αποστέλλουν εκβιαστικά μηνύματα προκειμένου να ζητήσουν χρηματικό ποσό για την επιστροφή του λογαριασμού στον κάτοχό του.
Γερμανία – «Zoom τέλος;»
Προσκόμματα στη χρήση της γνωστής εφαρμογής – υπηρεσίας τηλεδιάσκεψης «Zoom» από τις τοπικές αρχές φαίνεται ότι βάζει η Αρχή Προστασίας Δεδομένων του Αμβούργου. Σε προειδοποίηση που απευθύνει υποστηρίζει ότι η χρήση του «Zoom» παραβιάζει το προστατευτικό πλαίσιο, δεδομένου ότι συνεπάγεται τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, όπου εδρεύει η εταιρεία. Όπως υπογραμμίζεται, το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε στην υπόθεση C-311/18, γνωστή και ως υπόθεση «Schrems II», τον Ιούλιο του 2020 ότι η διαβίβαση προσωπικών δεδομένων σαν την επίμαχη επιτρέπεται μόνο υπό αυστηρές προϋποθέσεις. Και αυτό εξαιτίας της ευρείας δυνατότητας που διαθέτουν οι αμερικάνικες δημόσιες αρχές για πρόσβαση στα εν λόγω δεδομένα, η οποία δεν περιορίζεται στο απολύτως αναγκαίο. Κατά την εποπτική αρχή, οι ως άνω αυστηρές προϋποθέσεις δεν συνέτρεχαν εν προκειμένω.
Η.Π.Α. – Λυτρισμικό
Ενημερωτικό δελτίο για την αντιμετώπιση του διογκώμενου προβλήματος του λυτρισμικού εξέδωσε η εθνική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας των Υποδομών. Υπενθυμίζεται ότι το λυτρισμικό αποτελεί κακόβουλο λογισμικό το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση («ransomware»). Μεταξύ των πολλών χρήσιμων πληροφοριών που παρέχονται, αναδεικνύεται η πρωτοβουλία της κυβέρνησης για τη δημιουργία ειδικής ιστοσελίδας «Στοπ στο Λυτρισμικό» («StopRansomware.gov») με σχετικές ειδήσεις, πηγές, οδηγούς και ειδοποιήσεις. Κατά το δελτίο, για την αντιμετώπιση των ως άνω επιθέσεων, κρίσιμη θεωρείται ιδίως η ύπαρξη αντίγραφου ασφαλείας των δεδομένων («backup») και σχεδίου αντιμετώπισης «κυβερνοπεριστατικών».
Κίνα – Νέα νομοθεσία
Πραγματικότητα αποτελεί πλέον ο νέος νόμος για την προστασία των προσωπικών δεδομένων στην Κίνα, με χρονικό σημείο έναρξης εφαρμογής του την 1η Νοεμβρίου. Με την υιοθέτησή του η Κίνα εντάσσεται στην οικογένεια των κρατών με πλήρες νομοθετικό πλαίσιο στον εν λόγω τομέα. Πρόκειται για εκτενές νομοθετικό κείμενο 74 άρθρων στο οποίο, μεταξύ άλλων, ρυθμίζονται το επιτρεπτό της επεξεργασίας απλών και ευαίσθητων προσωπικών δεδομένων, η σχετική δραστηριότητα κρατικών υπηρεσιών, η διαβίβαση προσωπικών δεδομένων, τα δικαιώματα των πολιτών και οι κυρώσεις σε περίπτωση παραβίασης των διατάξεών του. Οι εισαγόμενες ρυθμίσεις παρουσιάζουν σε σημεία τους ομοιότητες με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως «GDPR».
Ολλανδία – Τραπεζικές απάτες
Άδεια αποφάσισε να χορηγήσει η εθνική Αρχή Προστασίας Δεδομένων σε περισσότερα από 160 χρηματοπιστωτικά ιδρύματα για την εγγραφή σε βάση δεδομένων των στοιχείων δραστών απάτης και τον διαμοιρασμό αυτών μεταξύ τους. Όπως σημειώνεται, οι δράστες απάτης είναι συνήθως ενεργοί σε περισσότερα του ενός χρηματοπιστωτικά ιδρύματα. Με το εισαγόμενο σύστημα, λοιπόν, τα τραπεζικά και ασφαλιστικά ιδρύματα μπορούν να προειδοποιούν το ένα το άλλο μέσω της ανταλλαγής των δεδομένων. Η ανταλλαγή θα μπορεί να λαμβάνει χώρα μόνο εφόσον τηρούνται οι κανόνες που έχουν τεθεί στο ειδικό πρωτόκολλο που τη διέπει. Κάθε χρηματοπιστωτικό ίδρυμα θα τηρεί τη δική του βάση δεδομένων, λαμβανομένου υπόψη ότι δεν προβλέπεται η λειτουργία της σε κεντρικό επίπεδο.
Ο.Η.Ε. – Τεχνολογία παρακολούθησης
Εμπειρογνώμονες των Ειδικών Διαδικασιών του Συμβουλίου Ανθρωπίνων Δικαιωμάτων του Οργανισμού Ηνωμένων Εθνών απηύθυναν κάλεσμα για την επιβολή ενός «παγώματος» σε παγκόσμιο επίπεδο στην πώληση και μεταφορά τεχνολογίας παρακολούθησης. Στόχος του προτεινόμενου μορατόριουμ αποτελεί η υιοθέτηση, κατά τη διάρκεια ισχύος του, ενός επαρκούς ρυθμιστικού πλαισίου που θα διασφαλίζει τη σύμφωνη με τα ανθρώπινα δικαιώματα χρήση της εν λόγω τεχνολογίας. Οι εμπειρογνώμονες τονίζουν ότι το δίκαιο των ανθρωπίνων δικαιωμάτων επιβάλλει σε όλα τα κράτη την υιοθέτηση νομικών εγγυήσεων σε εθνικό επίπεδο για την προστασία των πολιτών από παράνομες παρακολουθήσεις, προσβολές της ιδιωτικότητάς τους, καθώς και απειλές στην ελευθερία έκφρασης, ελευθερία του συνέρχεσθαι και του συνεταιρίζεσθαι.