Εράνισμα προσωπικών δεδομένων – 5/2022
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 3/03/2022
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM
Δ.Δ.Η.Ε. – Σεξουαλική εκβίαση
Για προσπάθεια οικονομικής εξαπάτησης των πολιτών ενημερώνει η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Κατά τη σχετική ανακοίνωση, το τελευταίο διάστημα καταγγέλλονται περιπτώσεις διεθνούς απάτης μέσω σεξουαλικής εκβίασης («sextortion scam»). Πρόκειται για τη μαζική αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου από άγνωστους δράστες, με τα οποία οι αποδέκτες ενημερώνονται ότι το πληροφοριακό σύστημά τους έχει παραβιαστεί, τα δεδομένα τους έχουν αντιγραφεί, η κάμερά τους έχει ενεργοποιηθεί με τη χρήση κακόβουλου λογισμικού και αυτοί έχουν καταγραφεί σε προσωπικές στιγμές τους. Τους ζητείται μάλιστα η καταβολή χρηματικού ποσού, ώστε να μην κοινοποιήσουν σε τρίτους το επίμαχο υλικό. Η ΔΔΗΕ συστήνει, μεταξύ άλλων, στους πολίτες να μην ανταποκρίνονται σε μηνύματα τέτοιου είδους και να μην επικοινωνούν με τους αποστολείς τους.
Κύπρος – Κοινόχρηστα
Συνεχίζοντας την επισκόπηση των αποφάσεων της Ετήσιας Έκθεσης για το 2020 του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου, η οποία δημοσιεύθηκε πρόσφατα, κατά το οικείο έτος υποβλήθηκε καταγγελία από ένοικο διαμερίσματος πολυκατοικίας για την ανάρτηση ειδοποίησης καταβολής κοινοχρήστων που όφειλε στο χώρο της κυρίας εισόδου της πολυκατοικίας. Κατά την καταγγελία, η ειδοποίηση ανέφερε το ονοματεπώνυμο της ενοίκου και εξέθετε τα προσωπικά δεδομένα της σε λοιπούς ιδιοκτήτες, ενοίκους και τρίτους. Το Γραφείο Επιτρόπου έκρινε ότι η προς όλους ενημέρωση δεν ήταν παράνομη. Σκόπιμο όμως ήταν η σχετική ανάρτηση να έχει γίνει όχι στην είσοδο της πολυκατοικίας, αλλά σε άλλο χώρο, καταρχήν μη προσβάσιμο από τρίτους/επισκέπτες, άλλως μη ευχερώς προσβάσιμο από αυτούς, όπως στον τοίχο της σκάλας του πρώτου προς τον δεύτερο όροφο.
Αυστραλία – Παρακολουθήσεις
Σε ρυθμούς αναμόρφωσης του πλαισίου ηλεκτρονικών παρακολουθήσεων βρίσκεται η Αυστραλία. Εν μέσω δημόσιας διαβούλευσης, κατόπιν δημοσίευσης σχετικού εγγράφου εργασίας από το αρμόδιο Υπουργείο, η εποπτική αρχή προέβη στη γνωστοποίηση των παρατηρήσεών της. Σύμφωνα με αυτές, το νέο πλαίσιο οφείλει να θέτει την προστασία της ιδιωτικότητας στην πρώτη γραμμή. Και αυτό γιατί οι εξουσίες ηλεκτρονικής παρακολούθησης είναι εξόχως παρεμβατικές και έχουν σημαντικό αντίκτυπο. Αυτό είναι εμφανές υπό τις σημερινές συνθήκες, όπου η τεχνολογία έχει καταστήσει εφικτή την πρόσβαση σε αυξημένο όγκο πληροφοριών και δεδομένων. Αλλαγές στο υπάρχον πλαίσιο, οι οποίες θα οδηγήσουν σε νέες εξουσίες παρακολούθησης, πρέπει να συνοδευτούν από αυστηρούς ελέγχους. Χρειάζεται επίσης να είναι συγκεκριμένες, ώστε οι πολίτες να γνωρίζουν, σε συνθήκες διαφάνειες, πότε αυτές οι εξουσίες θα ασκηθούν.
Ηνωμένο Βασίλειο – Κυβερνοεπιθέσεις
Τον κώδωνα του κινδύνου για επικείμενες κυβερνοεπιθέσεις κρούει το Εθνικό Κέντρο Κυβερνοασφάλειας λόγω της στρατιωτικής επίθεσης της Ρωσίας κατά της Ουκρανίας, αν και όπως επισημαίνει δεν διαθέτει πληροφορίες στοχευμένων απειλών. Οι οργανισμοί στο Ηνωμένο Βασίλειο καλούνται να ενισχύσουν τις ηλεκτρονικές άμυνές τους, ώστε να μειωθεί ο κίνδυνος να υποστούν επιθέσεις αυτής της φύσεως. Προτείνεται ιδίως η εγκατάσταση όλων των διαθέσιμων αναβαθμίσεων σε υπολογιστές και λοιπές συσκευές, ο επανέλεγχος της αξιοπιστίας των κωδικών πρόσβασης, η επικαιροποίηση των υφιστάμενων λογαριασμών χρηστών, η διασφάλιση ορθής λειτουργίας συστήματος εναντίον των ιών («antivirus») και τείχους προστασίας («firewall»), καθώς και η παρακολούθηση των σχετικών καταγραφών («logs»).
Ολλανδία – Ηχογραφήσεις
Οι ηχογραφήσεις κλήσεων εργαζόμενων απασχόλησαν περιφερειακό δικαστήριο στην Ολλανδία. Εν προκειμένω, εταιρεία που δραστηριοποιείτο στον χώρο των αυτοκινήτων ηχογράφησε υπάλληλό της εν αγνοία του, την ώρα που αυτός συζητούσε με πελάτη της την πώληση προσωπικού αυτοκινήτου του. Εξαιτίας αυτής της συμπεριφοράς ακολούθησε η απόλυση του υπαλλήλου. Ο απολυθείς υπάλληλος διαμαρτυρήθηκε για την παραβίαση της ιδιωτικότητάς του, ενώ η εταιρεία αντέτεινε πως η ηχογράφηση ήταν δικαιολογημένη, καθώς υποψιαζόταν ότι αυτός επιχειρούσε αντισυμβατικά να αποσπάσει εταιρική πελατεία. Κατά την δικαστική κρίση όμως η ηχογράφηση θα μπορούσε να είχε λάβει χώρα μόνο με τη συγκατάθεση του εργαζομένου.
Σλοβενία – «COVID-19»
Ενάντια στον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό και ως «GDPR», έκρινε η εποπτική αρχή την κοινοποίηση από εταιρεία σε εργαζομένους της ονομάτων συναδέλφων τους που είχαν βρεθεί θετικοί στον κορωνοϊό. Στην επίμαχη υπόθεση η εμπλεκόμενη εταιρεία αντιμετώπισε πλήθος κρουσμάτων στον εργασιακό χώρο. Στην προσπάθεια αντιμετώπισης της κατάστασης αποφασίστηκε η καταγραφή όλων των εργαζομένων που είχαν προσβληθεί και στη συνέχεια η αποστολή των στοιχείων τους στους συναδέλφους τους με τους οποίους μπορεί να είχαν έλθει σε επαφή. Κατά την εποπτική αρχή, η εταιρεία θα μπορούσε να λάβει προληπτικά μέτρα προστασίας της δημόσιας υγείας με ηπιότερο τρόπο, ενημερώνοντας μεν τους εργαζομένους για την επαφή με κρούσμα, δίχως όμως την κοινοποίηση του ονοματεπωνύμου των προσβληθέντων.