Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 15/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΕΛ.ΑΣ. – Απάτη με υπολογιστή

Εξιχνιάστηκε από αστυνομικούς του Τμήματος Ασφάλειας Κοζάνης υπόθεση απάτης με υπολογιστή, η οποία τελέστηκε σε βάρος 60χρονου ημεδαπού. Ειδικότερα, ο 60χρονος κατήγγειλε ότι αρχές Σεπτεμβρίου του 2023, άγνωστο άτομο, αφού επικοινώνησε τηλεφωνικά μαζί του, παρουσιάζοντάς του ψευδή γεγονότα ως αληθή, κατάφερε και απέκτησε παράνομα πρόσβαση στον ηλεκτρονικό τραπεζικό λογαριασμό του (e-banking). Στη συνέχεια δε ο δράστης μετέφερε το χρηματικό ποσό των 2.300 ευρώ από τον λογαριασμό του 60χρονου σε έτερο λογαριασμό. Μετά από ενδελεχή έρευνα και κατάλληλη αξιοποίηση στοιχείων ταυτοποιήθηκαν τα στοιχεία ενός 36χρονου αλλοδαπού, ο οποίος είναι κάτοχος του αριθμού τηλεφώνου, και ενός 51χρονου ημεδαπού, ο οποίος είναι  κάτοχος του τραπεζικού λογαριασμού στον οποίο μεταφέρθηκε το ανωτέρω χρηματικό ποσό. Σε βάρος αυτών σχηματίσθηκε ποινική δικογραφία για απάτη με υπολογιστή.

Κύπρος – Μέσα Κοινωνικής Δικτύωσης

Η Υποδιεύθυνση Ηλεκτρονικού Εγκλήματος προειδοποιεί τους πολίτες ότι παρατηρείται έξαρση του φαινομένου υποκλοπής λογαριασμών σε Μέσα Κοινωνικής Δικτύωσης και ιδιαίτερα στο Viber. Το κοινό καλείται να είναι ιδιαίτερα προσεκτικό και να μην αποκαλύπτει κωδικούς που λαμβάνει σε οποιοδήποτε πρόσωπο. Επίσης, για να αποτραπεί το ενδεχόμενο παράνομης πρόσβασης σε ηλεκτρονικούς λογαριασμούς απαιτείται: α) ενεργοποίηση στις ρυθμίσεις ασφαλείας του ελέγχου ταυτότητας δύο παραγόντων, β) έλεγχος των συσκευών από τις οποίες πραγματοποιείται σύνδεση στους λογαριασμούς, γ) έλεγχος προσωπικών στοιχείων (email και αριθμού τηλεφώνου) τα οποία έχουν καταχωρηθεί στο Facebook και Instagram, ώστε να διαγραφούν αυτά τα οποία πλέον δεν χρησιμοποιούνται, δ) αλλαγή των κωδικών πρόσβασης σε τακτά χρονικά διαστήματα, χρησιμοποιώντας σύμβολα, αριθμούς και γράμματα, ε) χρήση ξεχωριστού κωδικού πρόσβασης σε κάθε λογαριασμό.

Αυστραλία – Στελέχη επιχειρήσεων

H αρμόδια Διεύθυνση Πληροφοριών της Αυστραλίας (Australian Signals Directorate) δημοσίευσε πρακτικές συμβουλές κυβερνοασφάλειας για ηγετικά στελέχη επιχειρήσεων. Τα εν λόγω πρόσωπα αντιμετωπίζουν αυξημένους κινδύνους λόγω των πληροφοριών και των ανθρώπων στους οποίους έχουν πρόσβαση. Μεταξύ άλλων, συστήνεται η απενεργοποίηση και ακολούθως η ενεργοποίηση των κινητών συσκευών τουλάχιστον μία φορά την ημέρα για την αποτελεσματικότερη αφαίρεση τυχόν κακόβουλου λογισμικού, καθώς και η φόρτιση των συσκευών μόνο με τη χρήση αξιόπιστων καλωδίων φόρτισης και πηγών ρεύματος, δεδομένου ότι αμφότερα μπορούν να χρησιμοποιηθούν για τη μόλυνση με κακόβουλο λογισμικό.

Η.Π.Α. – Τεχνητή Νοημοσύνη

Την πρόθεσή του να προσλάβει 50 ειδικούς στην Τεχνητή Νοημοσύνη εντός του 2024 ανακοίνωσε το Υπουργείο Εσωτερικής Ασφάλειας (Department of Homeland Security). Το νέο Σώμα Τεχνητής Νοημοσύνης (AI Corps) θα συμβάλλει στην καλύτερη αξιοποίηση αυτής σε στρατηγικούς τομείς, όπως στην προσπάθεια για την καταπολέμηση των ναρκωτικών, της σεξουαλικής εκμετάλλευσης και της κακοποίησης παιδιών, την παροχή υπηρεσιών σε ζητήματα μετανάστευσης, τα ασφαλή ταξίδια, την ενδυνάμωση των κρίσιμων υποδομών και την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Οι ειδικοί οι οποίοι θα προσληφθούν θα υποστηρίξουν πρωτοβουλίες για την ασφαλή χρήση της Τεχνητής Νοημοσύνης, προστατεύοντας παράλληλα την ιδιωτικότητα και τα ατομικά δικαιώματα.

Ολλανδία – Uber

Πρόστιμο ύψους 10 εκ. ευρώ επέβαλε η εποπτική αρχή στη γνωστή εταιρεία παροχής υπηρεσιών μεταφοράς προσώπων Uber. Οι παραβιάσεις της εταιρείας αφορούν τη μη πλήρη ενημέρωση για τις περιόδους τήρησης των προσωπικών δεδομένων των Ευρωπαίων οδηγών, καθώς και τα κράτη εκτός Ευρώπης στα οποία κοινολογεί προσωπικά δεδομένα. Η εποπτική αρχή διαπίστωσε επίσης ότι οι οδηγοί αντιμετώπιζαν δυσκολίες στις προσπάθειές τους να ασκήσουν τα δικαιώματα σχετικά με την ιδιωτικότητά τους. Ο Πρόεδρος της εποπτικής αρχής δήλωσε ότι οι οδηγοί της Uber έχουν δικαίωμα να γνωρίζουν πώς η εταιρεία επεξεργάζεται τα προσωπικά δεδομένα τους, η Uber όμως δεν παρείχε ενημέρωση με τη δέουσα σαφήνεια.

Περού – Απολογισμός

Συγκεντρωτικά στοιχεία για τη δράση της κατά τη διάρκεια του 2023 παρουσίασε η εποπτική αρχή. Σύμφωνα με αυτά, πραγματοποιήθηκαν έλεγχοι σε 336 οργανισμούς τόσο του δημόσιου όσο και του ιδιωτικού τομέα, κυρίως στον χρηματοπιστωτικό τομέα και τον τομέα τηλεπικοινωνιών. Κινήθηκαν 132 διαδικασίες επιβολής κυρώσεων, επιβλήθηκαν δε πρόστιμα συνολικού ύψους το οποίο υπερβαίνει τα 7,6 εκ. περουβιανά σολ. Eν τούτοις, εισπράχθηκαν περίπου 2,8 εκ. εξ αυτών, καθώς πολλοί οργανισμοί αξιοποιούν τη δυνατότητα εκπτώσεως 40% στο ποσό του προστίμου εφόσον προβούν στην άμεση πληρωμή του, άλλοι καθυστερούν την καταβολή του, ενώ ακολουθούνται επίσης η διαδικασία της αναγκαστικής εκτέλεσης ή της δικαστική αμφισβήτησης του επιβληθέντος προστίμου. Επισημαίνεται επίσης ότι η εποπτική αρχή είναι αρμόδια για το Εθνικό Μητρώο Προστασίας των Προσωπικών Δεδομένων, μέσω του οποίου κάθε πολίτης μπορεί να γνωρίζει ποια προσωπικά δεδομένα του επεξεργάζεται συγκεκριμένος οργανισμός.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 1/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΕΛ.ΑΣ. – Λούτρινο κουκλάκι

Αστυνομικοί του Τμήματος Ασφαλείας Θέρμης συνέλαβαν ημεδαπή 26 ετών για παραβίαση του απορρήτου τηλεφωνικής επικοινωνίας και προφορικής συνομιλίας. Προηγήθηκε καταγγελία του πρώην συζύγου της, σύμφωνα με την οποία, αφού ο ίδιος παρέλαβε το ανήλικο τέκνο τους, βάσει σχετικής απόφασης, μετέβη σε κατοικία που διαμένει. Εκεί, μεταξύ προσωπικών αντικειμένων του παιδιού, αυτός εντόπισε λούτρινο κουκλάκι, στο οποίο υπήρχε επιμελώς κρυμμένο και ενεργοποιημένο USB stick, που κατέγραφε προσωπικές του συνομιλίες. Η συλληφθείσα, με τη δικογραφία που σχηματίστηκε σε βάρος της, οδηγήθηκε στον αρμόδιο Εισαγγελέα.

Κύπρος – Σύστημα Υγείας

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου σχετικά με πρόσβαση σε λογαριασμό πολίτη στο πληροφοριακό σύστημα του Γενικού Συστήματος Υγείας (ΓεΣΥ) από ιατρό. Συγκεκριμένα, ως η καταγγέλλουσα ανέφερε, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην ηλεκτρονική πύλη δικαιούχων του ΓεΣΥ, χωρίς να τη γνωρίζει, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο Επιτρόπου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα. Η τελευταία δεν μπόρεσε όμως να αποδείξει ότι έλαβε με νόμιμο τρόπο τα προσωπικά δεδομένα της καταγγέλλουσας και ότι είχε εξουσιοδότηση όπως επιτύχει πρόσβαση στην πύλη δικαιούχου. Για τους λόγους αυτούς της επιβλήθηκε διοικητικό πρόστιμο ύψους 1.500 ευρώ.

Ε.Δ.Δ.Α. – Καταδίκη Ελλάδος

Απόφαση σε βάρος της Ελλάδος εξέδωσε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ), με την οποία καλείται η χώρα μας να καταβάλει ποσό ύψους 70.000 ευρώ. Η υπόθεση αφορούσε εκδιδόμενα πρόσωπα τα οποία συνελήφθησαν στο πλαίσιο αστυνομικής επιχείρησης στο κέντρο της Αθήνας το 2012. Κατόπιν ιατρικών εξετάσεων, συμπεριλαμβανομένων εξετάσεων αίματος, διαπιστώθηκε ότι αυτά ήταν οροθετικά. Με διάταξη μάλιστα εισαγγελέα δημοσιοποιήθηκαν τα ονόματά τους, οι φωτογραφίες τους και το γεγονός ότι ήταν οροθετικά, στη συνέχεια δε υπήρξε μεγάλη διασπορά των εν λόγω στοιχείων από δημοσιογραφικά μέσα. Όπως έκρινε το ΕΔΔΑ, εν προκειμένω συνέτρεχε παραβίαση του άρθρου 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου για το δικαίωμα σεβασμού της ιδιωτικής ζωής, αφενός λόγω των υποχρεωτικών εξετάσεων αίματος, δίχως να υφίσταται το αναγκαίο νομοθετικό πλαίσιο, και αφετέρου λόγω της ως άνω δημοσιοποίησης προσωπικών δεδομένων.

Ελβετία – Αίθουσα διακομιστή

Τον επικαιροποιημένο οδηγό με προτεινόμενα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων δημοσίευσε στην ιστοσελίδα της στην αγγλική γλώσσα η εποπτική αρχή. Μεταξύ άλλων, θίγεται και το θέμα της ασφάλειας της αίθουσας διακομιστή (server room). Όπως σημειώνεται, πρόκειται για τον πιο ευαίσθητο χώρο ενός οργανισμού, καθώς τα δεδομένα αποθηκεύονται στα μηχανήματα τα οποία βρίσκονται σε αυτόν. Για την προστασία του, λοιπόν, προτείνονται ο περιορισμός του αριθμού των προσώπων τα οποία είναι εξουσιοδοτημένα να εισέρχονται σε αυτόν, η ανάθεση της καθαριότητας του στα ίδια πρόσωπα του προσωπικού καθαρισμού, η καταγραφή όσων εισέρχονται σε αυτόν και η προστασία του με σύστημα συναγερμού. Επίσης, η επιλογή υπόγειου χώρου για την αίθουσα διακομιστή, ώστε να ελαχιστοποιούνται τα σημεία φυσικής πρόσβασης, π.χ. πόρτες και παράθυρα, καθώς και η αυτόματη ανίχνευση φυσικών συμβάντων, όπως φωτιές ή πλημμύρες, μέσω ειδικών συστημάτων.

Η.Π.Α. – Νέα νομοθεσία

Η δέκατη τρίτη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών -και η πρώτη για το 2024- έγινε το Νιου Τζέρσεϊ, μετά τις Αϊόβα, Βιρτζίνια, Γιούτα, Ιντιάνα, Καλιφόρνια, Κολοράντο, Κονέκτικατ, Μοντάνα, Ντέλαγουερ, Όρεγκον, Τενεσί και Τέξας. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή τον Ιανουάριο του 2025. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Νιου Τζέρσεϊ ή παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το αν λαμβάνει χώρα πώληση προσωπικών δεδομένων.

Ιταλία – Βρέφος

Πρόσκληση απηύθυνε η εποπτική αρχή της χώρας στον τύπο, ενημερωτικές ιστοσελίδες και μέσα κοινωνικής δικτύωσης για να απέχουν από την περαιτέρω κοινολόγηση βίντεο καμερών ασφαλείας στο οποίο έχει καταγραφεί γυναίκα να εγκαταλείπει νεογέννητο βρέφος στην είσοδο νοσοκομείου. Η εποπτική αρχή τονίζει ότι εν λόγω ενέργεια παραβιάζει το πλαίσιο προστασίας των προσωπικών δεδομένων, καθώς και τους δεοντολογικούς κανόνες της δημοσιογραφίας, δεδομένου ότι οι επίμαχες εικόνες πλήττουν την αξιοπρέπεια της γυναίκας σε μια στιγμή ιδιαίτερης ευαλωτότητάς της.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 18/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΥΨηΔ – Κυβερνοασφάλεια

Σε διαβούλευση τέθηκε από το Υπουργείο Ψηφιακής Διακυβέρνησης (ΥΨηΔ) το νομοσχέδιο για τον εκσυγχρονισμό και την ενίσχυση της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία θα καταστεί νομικό πρόσωπο δημοσίου δικαίου. Κατά το άρθρο 4 αυτού, σκοπός της αναβαθμισμένης πλέον αρχής θα είναι η οργάνωση, ο συντονισμός, η εφαρμογή και ο έλεγχος ενός ολοκληρωμένου πλαισίου στρατηγικών, μέτρων και δράσεων για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας στη χώρα. Όπως υπογραμμίζεται στην έκθεση ανάλυσης συνεπειών ρύθμισης του νομοσχεδίου, η κυβερνοασφάλεια αποτελεί έναν ταχέως εξελισσόμενο και ιδιαιτέρως κρίσιμο τομέα για την Ελλάδα, δεδομένου ότι συνδέεται άρρηκτα τόσο με την εύρυθμη λειτουργία των κρίσιμων υποδομών της όσο και με την ανθεκτικότητα και απόκριση του κράτους σε κυβερνοαπειλές, καθώς επίσης και με την επιχειρησιακή συνέχεια των υπηρεσιών τις οποίες αυτό παρέχει.

Κύπρος – Αστυνομία

Την προσοχή του κοινού συστήνει για ακόμα μια φορά η Αστυνομία Κύπρου, σχετικά με τηλεφωνικές απάτες μέσω της εφαρμογής επικοινωνίας WhatsApp. Συγκεκριμένα, επιτήδειοι χρησιμοποιώντας την εν λόγω εφαρμογή καλούν ανυποψίαστους πολίτες, παριστάνοντας ψευδώς ότι επικοινωνούν εκ μέρους της Αστυνομίας. Η επικοινωνία γίνεται στην αγγλική γλώσσα και οι επιτήδειοι ζητούν από τους πολίτες όπως δηλώσουν διάφορα προσωπικά και τραπεζικά στοιχεία τους (επίδειξη ταυτότητας, χρεωστικές / πιστωτικές κάρτες κ.τ.λ.). Οι προαναφερόμενες τηλεφωνικές κλήσεις είναι προϊόν απάτης και δεν προέρχονται από την Αστυνομία. Το κοινό καλείται όπως είναι ιδιαίτερα προσεκτικό και: α) να μην ανταποκρίνεται στις κλήσεις και τις οδηγίες που λαμβάνουν από τους επιτήδειους, β) να μην ανταποκρίνεται σε τυχόν συνδέσμους (links) που αποστέλλονται, γ) να μην αποκαλύπτει σε άλλους τους κωδικούς τους οποίους τυχόν έλαβε στο κινητό τηλέφωνό του.

Δανία – Περιστατικά παραβίασης

Προτάσεις για το πως μπορούν να αποφευχθούν δέκα χαρακτηριστικές περιπτώσεις περιστατικών παραβίασης προσωπικών δεδομένων δημοσίευσε η εποπτική αρχή. Ανάμεσα σε αυτές περιλαμβάνεται το σενάριο της παράδοσης σε τρίτο ή δημοσίευσης εγγράφων από εργαζόμενο τα οποία περιέχουν προσωπικά δεδομένα, χωρίς αυτό να είναι επιτρεπτό. Κατά τις συστάσεις της αρχής, το προαναφερθέν σενάριο μπορεί να αποφευχθεί εφόσον οι εργαζόμενοι λαμβάνουν συστάσεις, ώστε να ελέγχουν οι ίδιοι προσωπικά το εκάστοτε υλικό προ της διάχυσής του και να διαγράφουν προσωπικά δεδομένα τα οποία τυχόν περιλαμβάνονται σε αυτό. Σε ορισμένες περιπτώσεις μάλιστα πρέπει να προβλέπονται διαδικασίες ελέγχου του υλικού και από δεύτερο εργαζόμενο, με τον ίδιο σκοπό, προ της κοινολόγησής του.

Η.Π.Α. – Δεδομένα τοποθεσίας

Με την απαγόρευση κοινολόγησης ή πώλησης ευαίσθητων δεδομένων τοποθεσίας θα κληθεί να συμμορφωθεί εταιρεία η οποία δραστηριοποιείται ως μεσίτης δεδομένων (data broker), προκειμένου να διευθετήσει ισχυρισμούς της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) εναντίον της. Σύμφωνα με αυτούς, η εμπλεκόμενη εταιρεία προέβη στην πώληση δεδομένων τοποθεσίας τα οποία θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση των επισκέψεων ατόμων σε ευαίσθητες τοποθεσίες, όπως κλινικές υγείας και αναπαραγωγικής υγείας, χώρους θρησκευτικές λατρείας και χώρους προστασίας από την ενδοοικογενειακή βία. Πρόκειται για την πρώτη στα χρονικά απαγόρευση στη χρήση και πώληση ευαίσθητων δεδομένων τοποθεσίας, καθώς η επίμαχη πρακτική όχι μόνο παραβίαζε την ιδιωτικότητα των καταναλωτών, αλλά τους εξέθετε επίσης σε πιθανές δυσμενείς διακρίσεις, σωματική βία, συναισθηματική ταλαιπωρία και άλλες βλάβες.

Ιταλία – Φυσική κατάσταση

Οδηγίες για την προστασία των προσωπικών δεδομένων κατά τη χρήση εφαρμογών και συσκευών ιχνηλάτησης φυσικής κατάστασης (fitness tracker apps/devices) εξέδωσε η εποπτική αρχή. Αυτές οι εφαρμογές και συσκευές μπορούν να συλλέγουν και επεξεργάζονται πλήθος δεδομένων, όπως  τον καρδιακό ρυθμό κατά τη διάρκεια δραστηριοτήτων, την καθημερινή διαδρομή τρεξίματος, των αριθμό επαναλήψεων κατά την εκτέλεση ασκήσεων γυμναστικής, το βάρος, το ύψος, τη διατροφή, το επίπεδο άγχους και  τις ώρες ύπνου. Τα δεδομένα αυτά θα μπορούσαν να κοινολογηθούν σε τρίτους για σκοπούς τους οποίους ο χρήστης ενδέχεται να αγνοεί. Μεταξύ των συμβουλών οι οποίες παρέχονται είναι η απενεργοποίηση των δυνατότητων οι οποίες δεν αξιοποιούνται από τον χρήστη, ώστε να περιορισθεί η συλλογή των δεδομένων στο απολύτως απαραίτητο.

Χονγκ Κονγκ – Εργαζόμενοι

Στη δημοσίευση έκθεσης έρευνας για μη νόμιμη αποθήκευση και χρήση προσωπικών δεδομένων εργαζομένων / πρώην εργαζομένων από εργοδότες σε τέσσερις περιπτώσεις προέβη το αρμόδιο Γραφείο Επιτρόπου. Τα τελευταία πέντε έτη η εποπτική αρχή έλαβε κατά μέσο όρο περισσότερες από 100 καταγγελίες ανά έτος για ζητήματα διαχείρισης ανθρωπίνου δυναμικού. Στο πλαίσιο αυτής, προτείνεται στους εργοδότες να εφαρμόσουν προγράμματα διαχείρισης προσωπικών δεδομένων και να σχεδιάσουν στρατηγική εκπαίδευσης του προσωπικού σχετικά με την προστασία αυτών.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 4/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Α.Π.Δ.Π.Χ. – Μείωση πόρων

Η μόνη χώρα στην Ευρώπη με αρνητική οικονομική στήριξη της αρμόδιας αρχής είναι η Ελλάδα. Αυτό επισημαίνει με δελτίο τύπου το Σωματείο Επιστημονικού Προσωπικού της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Σύμφωνα με τις κρίσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τη δεύτερη αξιολόγηση του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, των οποίων γίνεται επίκληση, μπορεί μεν όλες οι ευρωπαϊκές αρχές προστασίας δεδομένων να αντιμετωπίζουν προβλήματα ανθρώπινων και οικονομικών πόρων, μόνο όμως η Ελλάδα έχει μειώσει τους πόρους τους οποίους παρέχει στην ΑΠΔΠΧ και μάλιστα κατά 15% μεταξύ 2020 και 2024. Το δελτίο τύπου σημειώνει επίσης ότι τα έτη 2021-2023 ο προϋπολογισμός της αρμόδιας αρχής έχει περικοπεί δραματικά, όταν θα έπρεπε να συμβαίνει το ακριβώς αντίθετο.

Κύπρος – Κυβερνοασφάλεια

Η Αρχή Ψηφιακής Ασφάλειας διεξήγαγε για δεύτερη συνεχή χρονιά, στο πλαίσιο των αρμοδιοτήτων της, δύο παγκύπριες έρευνες με σκοπό τη συλλογή στοιχείων και πληροφοριών σχετικά με την κυβερνοασφάλεια στην κυπριακή επικράτεια. Η μια έρευνα απευθυνόταν σε πολίτες και η άλλη σε επιχειρήσεις. Διεξήχθησαν παράλληλα τους μήνες Οκτώβριο-Δεκέμβριο 2023 σε δείγμα 1006 πολιτών και 444 επιχειρήσεων διαφόρων τομέων. Σύμφωνα με τα αποτελέσματά τους, το 53% των πολιτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 25,9 επιθέσεις τον χρόνο. Ως προς τις επιχειρήσεις, το 49% αυτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 1 επίθεση την εβδομάδα.

Η.Π.Α. – Αναγνώριση προσώπου

Την πενταετή απαγόρευση χρήσης τεχνολογίας αναγνώρισης προσώπου με σκοπό την παρακολούθηση θα κληθεί να εφαρμόσει μεγάλη αλυσίδα φαρμακείων της χώρας, κατόπιν κατηγοριών της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) για αποτυχία εφαρμογής κατάλληλων διαδικασιών σε εκατοντάδες καταστήματά της. Κατά την αρμόδια αρχή, η αλυσίδα φαρμακείων χρησιμοποίησε από το 2012 μέχρι το 2020 τεχνολογία αναγνώρισης προσώπου σε σύστημα καμερών, με σκοπό να εντοπίζονται αυτόματα πρόσωπα τα οποία εισέρχονταν στα καταστήματα και εμπλέκονταν με κλοπές ή άλλη προβληματική συμπεριφορά. Λόγω μη λήψης των κατάλληλων μέτρων όμως, το σύστημα υπεδείκνυε εσφαλμένα ως κλέφτες ή ταραχοποιούς άτομα τα οποία ουδέποτε κατά το παρελθόν είχαν επιδείξει αντίστοιχη συμπεριφορά, με αποτέλεσμα να καλείται άνευ λόγου η αστυνομία ή αυτά να παρενοχλούνται από το προσωπικό του εκάστοτε καταστήματος.

Ιντερπόλ – Κέντρα κυβερνοαπάτης

Μεγάλη επιχείρηση της Ιντερπόλ (Operation Storm Makers II) κινητοποίησε αρχές επιβολής του νόμου σε 27 κράτη στην Ασία και σε άλλες περιοχές για την καταπολέμηση της εμπορίας ανθρώπων (human trafficking) και της παράνομης διακίνησης μεταναστών (migrant smuggling). H επιχείρηση εστίασε στην αυξανόμενη εμπορία ανθρώπων με προορισμό διαβόητα κέντρα κυβερνοαπάτης στην Νοτιανατολική Ασία. Σε αυτή τη μορφή εγκληματικής δράσης, τα θύματα παρασύρονται μέσω ψευδών αγγελιών εργασίας να ταξιδέψουν σε άλλη χώρα, στη συνέχεια δε υποχρεώνονται να διαπράξουν διαδικτυακές απάτες σε βιομηχανική κλίματα, ενώ υφίστανται τρομακτική σωματική κακοποίηση. Ενδεικτικά, προ της επιχείρησης, η Ιντεπόλ παρείχε υποστήριξη σε εθνικές αρχές αναφορικά με υπόθεση στην οποία 40 Μαλαισιανοί παρασύρθηκαν με ψευδείς υποσχέσεις για υψηλά αμειβόμενη εργασία και μετέβηκαν στο Περού, εκεί όμως υποχρεώθηκαν να διαπράττουν τηλεπικοινωνιακές απάτες.

Μαυρίκιος – Ιδιωτικότητα

Προτεραιότητα στην ανάπτυξη ενός ολοκληρωμένου νομικού πλαισίου για την προστασία της ιδιωτικότητας έχει δώσει η κυβέρνηση της χώρας, σύμφωνα με την Ana Brian Nougrères, Ειδική Εισηγήτρια του ΟΗΕ. Κατά τις διαπιστώσεις της, ο Μαυρίκιος αποτελεί πρότυπο για την περιοχή της Αφρικής, καθώς έχει ευθυγραμμιστεί με το πλαίσιο προστασίας της Ευρωπαϊκής Ένωσης. Παρά ταύτα, υπάρχει αναγκαιότητα για νέες νομοθετικές και κανονιστικές παρεμβάσεις, καθώς και για εφαρμογή μέτρων, ώστε να προωθηθεί περαιτέρω το δικαίωμα στην ιδιωτικότητα. Και αυτό, δεδομένου ότι λαμβάνονται παράλληλα μέτρα για τη δημιουργία μεγάλων βάσεων προσωπικών δεδομένων, όπως η λειτουργία συστημάτων βιντεοεπιτήρησης σε δημόσιους χώρους και η υποχρεωτική επανεγγραφή όλων των χρηστών συσκευών κινητής τηλεφωνίας, με σκοπό την καταπολέμηση της παράνομης διακίνησης ναρκωτικών.

Νορβηγία – Γυμναστήρια

Πρόστιμο ύψους περίπου 850.000 ευρώ επέβαλε η εποπτική αρχή σε μεγάλη αλυσίδα γυμναστηρίων της χώρας για πλήθος παραβάσεων του GDPR. Η αρχή κινητοποιήθηκε κατόπιν της υποβολής πολλών καταγγελιών πελατών των γυμναστηρίων την περίοδο 2018-2021, σύμφωνα με τις οποίες παραβιάζονταν τα δικαιώματα πρόσβασης και διόρθωσης των προσωπικών δεδομένων τους. Κατόπιν διερεύνησης της υπόθεσης, η εποπτική αρχή διαπίστωσε πώς πράγματι τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης προσωπικών δεδομένων των πελατών δεν τύγχαναν σεβασμού, παρανόμως δε λάμβανε χώρα η επεξεργασία δεδομένων σχετικά με το ιστορικό εκγύμνασής τους.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 21/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Γ.Ε.ΕΘ.Α. – Κυβερνοάμυνα

Με επιτυχία ολοκληρώθηκε στην αρχή του μήνα η διεξαγωγή στο Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) της άσκησης CYBER COALITION 2023, μιας από τις σημαντικότερες ασκήσεις κυβερνοάμυνας του ΝΑΤΟ. Η άσκηση  σχεδιάζεται και διευθύνεται από το Στρατηγείο Μετασχηματισμού (Allied Command Transformation) αυτού. Από ελληνικής πλευράς συντονίζεται και παρακολουθείται από τη Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ. Κατά τη διάρκειά της έλαβαν χώρα σενάρια που αφορούσαν στην αντιμετώπιση κυβερνοεπιθέσεων σε κρίσιμες υποδομές, οι οποίες υποστηρίζουν επιχειρήσεις του ΝΑΤΟ, ήτοι σε υποδομές δικτυακές, πληροφοριακές, παραγωγής ενέργειας και εφοδιαστικής αλυσίδας, καθώς και στη μόλυνση συστημάτων υποστήριξης ηλεκτρικών οχημάτων. Εξετάστηκαν επίσης θέματα νομικής φύσης τα οποία αφορούν στην θεώρηση των κυβερνοεπιθέσεων ως ενόπλων επιθέσεων. Η άσκηση διεξήχθη μέσω τηλεματικής με διασύνδεση σε εικονικό πεδίο ασκήσεων στο Κέντρο Αριστείας Συνεργατικής Κυβερνοάμυνας (Cooperative Cyber Defence Center of Excellence), στο Ταλίν της Εσθονίας.

Ευρωπόλ – Bluetooth

Για τη χρήση από το οργανωμένο έγκλημα έξυπνων ασύρματων ιχνηλατών με τεχνολογία Bluetooth (Bluetooth trackers), οι οποίοι συνήθως χρησιμοποιούνται για τον γεωεντοπισμό προσωπικών αντικειμένων και οχημάτων, προειδοποιεί η Ευρωπόλ. Παρά το ότι τα εν λόγω αντικείμενα σχεδιάστηκαν για την εύρεση απολεσθέντων κλειδιών και τσαντών ή την αποτροπή κλοπής οχήματος, πλέον χρησιμοποιούνται από τους εγκληματίες σε σχέση με παράνομα προϊόντα, πρωτίστως στη διακίνηση ναρκωτικών. Τα Bluetooth trackers είναι μικρότερα και φθηνότερα άλλων αντίστοιχων συσκευών, με μπαταρία μεγάλης διάρκειας ζωής – κατά προσέγγιση ένα με δύο έτη-, ενώ είναι και αδιάβροχα. Αποτελούν, λοιπόν, μια ελκυστική λύση για τους εγκληματίες, ώστε να παρακολουθούν την πορεία και να εντοπίζουν παράνομα εμπορεύματά τους. Στην περίπτωση των ναρκωτικών, έχει επιβεβαιωθεί ότι αυτά έχουν χρησιμοποιηθεί για την παρακολούθηση της πορείας του παράνομου φορτίου.

Ηνωμένο Βασίλειο – Ταλιμπάν

Πρόστιμο ύψους 350.000 λιρών επέβαλε το Γραφείο Επιτρόπου στο Υπουργείο Άμυνας για την κοινολόγηση προσωπικών δεδομένων ατόμων τα οποία επεδίωκαν τη μετεγκατάστασή τους στο Ηνωμένο Βασίλειο, κατόπιν της ανάκτησης από τους Ταλιμπάν του ελέγχου στο Αφγανιστάν το 2021. Το περιστατικό παραβίασης έλαβε χώρα με την αποστολή ηλεκτρονικής αλληλογραφίας από το Υπουργείο Άμυνας σε Αφγανούς οι οποίοι είχαν επιλεγεί για εκκένωση, με χρήση του πεδίου «προς». Έτσι, οι ηλεκτρονικές διευθύνσεις 245 ατόμων εκτέθηκαν σε όλους τους παραλήπτες, με 55 εξ αυτών να έχουν και φωτογραφίες στο προφίλ της ηλεκτρονικής αλληλογραφίας τους. Δύο μάλιστα απήντησαν σε όλους τους παραλήπτες, με τον ένα να αποστέλλει την τοποθεσία του. Τα εν λόγω δεδομένα, αν είχαν περιέλθει στην κατοχή των Ταλιμπάν, θα μπορούσαν να θέσουν σε κίνδυνο ζωής τους παραλήπτες. Και αυτό γιατί το ηλεκτρονικό μήνυμα είχε σταλεί από την υπηρεσία με αρμοδιότητα μετεγκατάστασης Αφγανών οι οποίο συνεργάστηκαν με την κυβέρνηση του Ηνωμένου Βασιλείου στην προ των Ταλιμπάν περίοδο. Κατόπιν ελέγχου, διαπιστώθηκε επίσης ότι δύο αντίστοιχα περιστατικά είχαν κατά τον ίδιο τρόπο λάβει χώρα λίγες ημέρες νωρίτερα.

Η.Π.Α. – Δέματα

Συμβουλές για την προστασία από απάτες μέσω της αποστολής ψευδών ειδοποιήσεων αποστολής και παράδοσης δεμάτων, ιδίως κατά την περίοδο των εορτών, παρέχει η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission). Οι εν λόγω ειδοποιήσεις αποστέλλονται μέσω ηλεκτρονικής αλληλογραφίας ή γραπτού μηνύματος. Αυτές μπορούν να αναφέρουν ότι μια απόπειρα παράδοσης ήταν ανεπιτυχής και να σας καλούν να πατήσετε σε σύνδεσμο, ώστε να προγραμματίσετε εκ νέου την παράδοση. Μπορούν επίσης να υποστηρίζουν ότι το δέμα σας είναι έτοιμο για αποστολή, αλλά θα πρέπει να ενημερώσετε τις προτιμήσεις αποστολής του. Στόχος των εγκληματιών είναι να πατήσετε τον σύνδεσμο, χωρίς να σκεφθείτε, ώστε στη συνέχεια να καταχωρίσετε δεδομένα σας, τα οποία θα χρησιμοποιηθούν από αυτούς σε βάρος σας, ή να εγκατασταθεί κακόβουλο λογισμικό στη συσκευή σας.

Τζαμάικα – Νέα νομοθεσία

Περίοδο χάριτος έξι μηνών για την υποχρεωτική εγγραφή τους στο Γραφείο του Επιτρόπου Πληροφοριών θα λάβουν οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα, παρά τη θέση σε εφαρμογή του νέου Νόμου για την Προστασία Δεδομένων (Data Protection Act) ήδη από την 1^η Δεκεμβρίου. Κατά δήλωση της αρμόδιας Υπουργού, η απόφαση λαμβάνεται κατόπιν αιτήματος πλήθος οργανισμών, ώστε να δοθεί περισσότερος χρόνος για τη συμμόρφωση με τη νέα νομοθεσία. Παρά ταύτα, όσοι οργανισμοί έχουν ήδη λάβει τα αναγκαία μέτρα και είναι έτοιμοι, ενθαρρύνονται να εγγραφούν αμέσως. Λοιποί οργανισμοί καλούνται να αξιοποιήσουν την περίοδο χάριτος, ώστε να συμμορφωθούν. Μεταξύ άλλων, δημόσιες αρχές, χρηματοπιστωτικά ιδρύματα, εκπαιδευτικά ιδρύματα, πάροχοι υπηρεσιών υγείας και πάροχοι υπηρεσιών ασφαλείας πρέπει να εγγραφούν κατά προτεραιότητα.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 7/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Ε.Υ.Π. – Ετήσια Έκθεση

Την Ετήσια Έκθεσή Προτεραιοτήτων και Τομέων Δράσης για την περίοδο Σεπτεμβρίου 2022 – Αυγούστου 2023 εξέδωσε η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Για τα ζητήματα κυβερνοασφάλειας και νέων τεχνολογιών, στην έκθεση επισημαίνεται, μεταξύ άλλων, ότι η ΕΥΠ ως Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) συνέβαλε στην πρόληψη, έγκαιρη προειδοποίηση και αντιμετώπιση κυβερνοεπιθέσεων, οι οποίες εκδηλώθηκαν σε βάρος δημοσίων φορέων της χώρας. Συνέταξε επίσης δεκάδες τεχνικές αναλύσεις για περιστατικά στον ελληνικό κυβερνοχώρο, τα οποία αφορούσαν κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), ηλεκτρονικό ψάρεμα (phishing), κακόβουλο λογισμικό (malware), παραβίαση δεδομένων (data breach), παραποίηση ιστοσελίδων (defacement), λυτρισμικό (ransomware), πειρατεία DNS (DNS hijacking), ύποπτη κυκλοφορία (suspicious traffic) και παραβιάσεις ηλεκτρονικών υποδομών. Επιπρόσθετα, πραγματοποίησε σειρά εκτιμήσεων ευπάθειας (vulnerability assessments) σε ιστοσελίδες, ιστότοπους και εφαρμογές δημοσίων φορέων.

Κύπρος – Ανοιχτό Πανεπιστήμιο

Πρόστιμο ύψους 45.000 ευρώ επέβαλε το Γραφείο Επιτρόπου στο Ανοιχτό Πανεπιστήμιο για περιστατικό κυβερνοεπίθεσης εναντίον αυτού, κυρίως λόγω μη εφαρμογής καταλλήλων μέτρων ασφαλείας. Oμάδα κακόβουλων χρηστών (hackers) δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι έφερε την ευθύνη για την επίθεση, δίδοντας χρονικό περιθώριο στο πανεπιστήμιο για την καταβολή λύτρων, ώστε να επιστραφούν / μη δημοσιοποιηθούν τα αρχεία που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα δημοσιεύθηκαν στο σκοτεινό διαδίκτυο (dark web). Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούσαν φοιτητές, απόφοιτους και άλλους συμβαλλόμενους του πανεπιστημίου, τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζομένους του ιδρύματος.

Δανία – Μέτρα ασφαλείας

Κατάλογο με μέτρα ασφαλείας εξέδωσε η εποπτική αρχή για εταιρείες και οργανισμούς, ώστε μέσω της υιοθέτησής τους να επιτυγχάνεται η προστασία των προσωπικών δεδομένων κατά τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR. Ένα εξ αυτών αποτελεί ο έλεγχος της φυσικής πρόσβασης στα δεδομένα, ο οποίος μπορεί να αποτελέσει σημαντικό μέτρο προστασίας τους, είτε πρόκειται για δεδομένα σε ηλεκτρονική είτε σε φυσική μορφή. Αυτό το μέτρο μπορεί να λάβει τη μορφή του ελέγχου -στον χώρο υποδοχής του κτηρίου- της εισόδου μη εξουσιοδοτημένων ατόμων και της καταγραφής των επισκεπτών.

Ε.Ε. – Αστυνομική συνεργασία

Σε συμφωνία κατέληξαν το Συμβούλιο της Ευρωπαϊκής Ένωσης (ΕΕ) και το Ευρωπαϊκό Κοινοβούλιο για την προώθηση της αστυνομικής συνεργασίας στην Ευρώπη. Πρόκειται για επικείμενη αναβάθμιση του υπάρχοντος πλαισίου, του καλούμενου Prüm I. Σύμφωνα με αυτό, οι αρχές επιβολής του νόμου δύνανται να συμβουλεύονται τις εθνικές βάσεις δεδομένων άλλων κρατών μελών σχετικά με δεδομένα DNA, δακτυλοσκοπικά δεδομένα και δεδομένα για άδειες κυκλοφορίας οχημάτων. Κατόπιν της συμφωνίας, οι κατηγορίες των εν λόγω δεδομένων θα διευρυνθούν, ώστε να είναι εφικτές αναζητήσεις και για εικόνες προσώπων και αστυνομικά αρχεία. Εφόσον υπάρξει εθνική πρόβλεψη, δυνατή θα είναι και η αναζήτηση με σκοπό την εύρεση αγνοούμενου προσώπου ή την αναγνώριση ανθρώπινων λείψανων.

Η.Π.Α. – Κλωνοποίηση φωνής

Σε διενέργεια διαγωνισμού κατά της κακόβουλης κλωνοποίησης φωνής (voice cloning challenge) προβαίνει η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) της χώρας. Η μίμηση της φωνής τρίτων μέσω της χρήσης Τεχνητής Νοημοσύνης γεννά ελπίδες για ορισμένους, π.χ. όσους πάσχουν από απώλεια της φωνής τους λόγω ατυχήματος ή ασθένειας, αποτελεί όμως κίνδυνο για πολλούς άλλους, καθώς έχει προστεθεί στο οπλοστάσιο των εγκληματιών. Έτσι, μέσω αυτής, κακοποιός δύναται να μιμηθεί τη φωνή συγγενικού μας προσώπου, ώστε να μας καλέσει, να μας πείσει ότι πρόκειται για συγγενή μας και επικαλούμενος διάφορες δικαιολογίες, π.χ. έκτακτη νοσηλεία, να κατορθώσει να μας αποσπάσει χρήματα. Γι’ αυτόν τον λόγο η FTC καλεί τους διαγωνιζόμενους να υποβάλουν τη βέλτιστη προσέγγιση για την προστασία των πολιτών από τους κινδύνους της κακόβουλης χρήσης της κλωνοποίησης φωνής. Το έπαθλο για τον νικητή θα είναι 25.000 δολάρια.

Ισραήλ –Έξυπνες συσκευές

Συστάσεις για τη χρήση έξυπνων συσκευών σε οικίες δημοσίευσε η εποπτική αρχή της χώρας. Όπως σημειώνεται, η χρήση έξυπνων συσκευών στο σπίτι, ήτοι ηλεκτρονικών συσκευών εφοδιασμένων με σένσορες για τη συλλογή δεδομένων, όπως δεδομένα μετακίνησης, θερμοκρασία, ήχο κ.α., μπορεί να έχει σημαντικές συνέπειες στην ιδιωτικότητα. Ενδεικτικά, με αυτές εισάγονται συστήματα παρακολούθησης στον πιο ιδιωτικό χώρο ενός ατόμου, με ότι αυτό συνεπάγεται. Μεταξύ άλλων, συνιστάται κατά τον καθορισμό του χώρου δραστηριότητας μιας έξυπνης συσκευής, π.χ. μιας ρομποτικής σκούπας, να λαμβάνεται υπόψη ότι είναι δυνατή η εξαίρεση ευαίσθητων χώρων της οικίας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 23/11/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Ηλεκτρονικό εισιτήριο

Συνολικό πρόστιμο ύψους 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Οργανισμό Αστικών Συγκοινωνιών Αθηνών (ΟΟΣΑ). Το πρόστιμο αφορούσε παραβιάσεις στην προστασία των προσωπικών δεδομένων στο πλαίσιο λειτουργίας του Αυτόματου Συστήματος Συλλογής Κομίστρου, το οποίο αναφέρεται και με τον όρο ηλεκτρονικό εισιτήριο. Κατόπιν εκτάκτου επιτόπιου ελέγχου της εποπτικής αρχής και ακόλουθων ενεργειών της, διαπιστώθηκε ιδίως ότι ο ΟΟΣΑ δεν είχε καθορίσει ορθά τον χρόνο τήρησης των σχετικών προσωπικών δεδομένων, δεν είχε εκπονήσει έγκαιρα και ορθά εκτίμηση αντικτύπου για την προστασία των προσωπικών δεδομένων, δεν είχε λάβει όλα τα δέοντα μέτρα για την προστασία τους από τον σχεδιασμό και δεν τηρούσε ορθά αρχείο δραστηριοτήτων επεξεργασίας.

Κύπρος – Επενδυτική πλατφόρμα

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου σε βάρος εταιρείας η οποία διαχειρίζεται διαδικτυακή επενδυτική πλατφόρμα. Το παράπονο αφορούσε αίτημα πρόσβασης σε προσωπικά δεδομένα. Ο καταγγείλας είχε αιτηθεί όλη την αλληλογραφία και τις τηλεφωνικές ηχογραφήσεις επικοινωνιών του με το προσωπικό της εταιρείας. Όπως διαπιστώθηκε στο πλαίσιο της διερεύνησης της καταγγελίας, η εμπλεκόμενη εταιρεία δεν είχε τηρήσει την προθεσμία του ενός μήνα, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, για την ανταπόκριση στο αίτημα πρόσβασης, δεν είχε ικανοποιήσει μέρος του αιτήματος πρόσβασης στις τηλεφωνικές καταγραφές και είχε καθυστερήσει να απαντήσει στις επιστολές του Γραφείου Επιτρόπου προς αυτή. Για τους ανωτέρου λόγους επιβλήθηκε επίπληξη.

Γαλλία – Πολιτική επικοινωνία

Περισσότερες από 1.600 καταγγελίες υποβλήθηκαν στην εποπτική αρχή της χώρας για την αποστολή ενός μηνύματος ηλεκτρονικής αλληλογραφίας σε περίπου 2,4 εκ. δημοσίους υπαλλήλους. Το ηλεκτρονικό μήνυμα επιχειρούσε να εξηγήσει και να δικαιολογήσει τις επικείμενες αλλαγές στο καθεστώς συνταξιοδότησης, έχοντας ως αποστολέα του τον αρμόδιο Υπουργό Μετασχηματισμού και Λειτουργίας του Δημοσίου της χώρας. Η αποστολή του κατέστη εφικτή με τη χρήση των ηλεκτρονικών διευθύνσεων των παραληπτών, οι οποίες είχαν αντληθεί όμως από πλατφόρμα του κράτους με σκοπό λειτουργίας την αποστολή ενημερωτικών δελτίων για τη μισθοδοσία των δημοσίων υπαλλήλων. Όπως έκρινε η εποπτική αρχή, τα εμπλεκόμενα υπουργεία, ήτοι του αποστολέα υπουργού, αλλά και έτερου υπουργείου, το οποίο ήταν αρμόδιο για την πλατφόρμα, δεν είχαν δικαίωμα να χρησιμοποιήσουν τα εν λόγω προσωπικά δεδομένα για μια επικοινωνία η οποία είχε πολιτικό χαρακτήρα.

Ελβετία – Τεχνητή Νοημοσύνη

Στο πλαίσιο της διείσδυσης της Τεχνητής Νοημοσύνης στον οικονομικό και κοινωνικό βίο της χώρας, η εποπτική αρχή υπενθυμίζει ότι ο Ομοσπονδιακός Νόμος για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στην επεξεργασία των προσωπικών δεδομένων η οποία υποστηρίζεται από την Τεχνητή Νοημοσύνη. Σε σχέση με τις διεθνείς εξελίξεις σε αυτόν τον τομέα, σημειώνονται από την εποπτική αρχή το σχετικό Εκτελεστικό Διάταγμα του Προέδρου Τζο Μπάιντεν, οι σχετικές εργασίες της Ευρωπαϊκής Ένωσης για την υιοθέτηση ρυθμιστικού πλαισίου και οι εργασίες ειδικής επιτροπής του Συμβουλίου της Ευρώπης για μια συνθήκη-πλαίσιο για την Τεχνητή Νοημοσύνη. Ως προς την Ελβετία, αναφέρεται ότι αξιολογούνται διάφορες προσεγγίσεις για τη δέουσα ρύθμιση, αξιολογήσεις οι οποίες θα ολοκληρωθούν μέχρι το τέλος του 2024.

Η.Π.Α. – Τεχνητή Νοημοσύνη

Εκτελεστικό Διάταγμα εξέδωσε ο Πρόεδρος Τζο Μπάιντεν με σκοπό να διασφαλισθεί ότι οι ΗΠΑ θα πρωτοπορήσουν στην αξιοποίηση, αλλά και στη διαχείριση των κινδύνων της Τεχνητής Νοημοσύνης. Με αυτό προβλέπονται, μεταξύ άλλων, νέα πρότυπα για την ασφάλεια της Τεχνητής Νοημοσύνης, την προστασία της ιδιωτικότητας και άλλων δικαιωμάτων, την προάσπιση των καταναλωτών και των εργαζομένων, καθώς και την προώθηση της καινοτομίας και τους ανταγωνισμού. Πρόκειται για ενέργεια η οποία προστίθεται σε συναφείς προηγηθείσες, όπως τη δράση του Προέδρου η οποία οδήγησε στην εκούσια δέσμευση 15 κορυφαίων εταιρειών για ασφαλή και αξιόπιστη ανάπτυξη της Τεχνητής Νοημοσύνης. Αξιοσημείωτο είναι ότι στο πλαίσιο του Εκτελεστικού Διατάγματος ο Πρόεδρος καλεί το Κογκρέσο να υιοθετήσει διακομματική νομοθεσία για την προστασία των προσωπικών δεδομένων.

Λιχτενστάιν – Διαλογικοί πράκτορες

Οδηγίες για την προστασία των προσωπικών δεδομένων κατά τη λειτουργία διαλογικών πρακτόρων, των γνωστών ως chatbots, εξέδωσε η Αρχή Προστασίας Δεδομένων της χώρας. Υπενθυμίζεται ότι το chatbot είναι ένα σύστημα συνομιλίας το οποίο βασίζεται στη χρήση λογισμικού και με το οποίο καθίσταται εφικτή η αυτοματοποιημένη επικοινωνία με κείμενο ή φωνή σε φυσική γλώσσα. Χαρακτηριστική είναι η χρήση αυτών από τράπεζες και εταιρείες τηλεπικοινωνιών για την τηλεφωνική εξυπηρέτηση των πελατών τους, προτού ο καλών συνδεθεί, εφόσον χρειαστεί, με μέλος του προσωπικού τους. Απαντώνται επίσης  σε ιστοσελίδες για την έγγραφη υποβολή ερωτημάτων. Οι οδηγίες διατίθενται στην ιστοσελίδα της αρχής.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 9/11/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Δ.Δ.Η.Ε. –«Ψάρεμα»

Πολυμελή εγκληματική οργάνωση, τα μέλη της οποίας προέβαιναν συστηματικά σε απάτες με υπολογιστή με τη μέθοδο phishing, εξάρθρωσε η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Σύμφωνα με δηλώσεις του Διευθυντή της ΔΔΗΕ κ. Βασίλειου Παπακώστα, οι εγκληματίες δραστηριοποιούνταν στην υποκλοπή προσωπικών δεδομένων των πολιτών μέσω απατών στο διαδίκτυο. Επρόκειτο για εγκληματική οργάνωση η οποία συντονιζόταν από ένα κεντρικό πυρήνα 25 περίπου ατόμων, ηγετικών και βασικών μελών, ενώ τη δράση της συνεπικουρούσαν τουλάχιστον 130 βοηθητικά – περιφερειακά μέλη. Χαρακτηριστικό της δράσης τους ήταν οι εξειδικευμένες τεχνικές γνώσεις και δεξιότητες τις οποίες είχαν αναπτύξει αναφορικά με την κατασκευή και διαχείριση απατηλών σελίδων, καθώς και η άριστη γνώση χειρισμού των συστημάτων ηλεκτρονικής τραπεζικής.

Κύπρος – Αυτοκίνητο

Καταγγελία σχετικά με ενοικίαση αυτοκινήτου απασχόλησε το Γραφείο Επιτρόπου Κύπρου. Κατά τον καταγγείλαντα, παρά το ότι στη διαδικασία εγγραφής για την ενοικίαση υπέβαλε στην εμπλεκόμενη εταιρεία πλήθος προσωπικών δεδομένων του, όπως ονοματεπώνυμο, κατοικία, τηλέφωνο, στοιχεία από την ταυτότητά του κ.α., δεν έλαβε τη δέουσα ενημέρωση για την επεξεργασία αυτών. Περαιτέρω, όπως διαπίστωσε, το όχημα έφερε κάμερα παρακολούθησης και πιθανώς σύστημα γεωεντοπισμού GPS. Η εποπτική αρχή προέβη σε εξέταση της καταγγελίας και διαπίστωσε ότι το όχημα δεν έφερε ούτε κάμερα ούτε συσκευή GPS. Αντιθέτως, η επίμαχη συσκευή αφορούσε την αυτόματη πληρωμή διοδίων στην Ιαπωνία, καθώς το όχημα είχε εισαχθεί από τη χώρα του ανατέλλοντος ηλίου. Εν τέλει όμως, επιβλήθηκε επίπληξη στην εμπλεκόμενη εταιρεία για μη παροχή των απαιτούμενων πληροφοριών κατά την συλλογή των δεδομένων.

Γερμανία – Κυβερνοασφάλεια

Η Γερμανία είναι ο μεγάλος νικητής του διαγωνισμού Ευρωπαϊκή Πρόκληση Κυβερνοασφάλειας για το τρέχον έτος, ο οποίος διοργανώθηκε υπό τον συντονισμό του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας (ENISA). Τη δεύτερη θέση κατέλαβε η Ελβετία, τη δε τρίτη θέση η Δανία. Συνολικά συμμετείχαν 34 ομάδες, εκπροσωπώντας κράτη μέλη της Ευρωπαϊκής Ένωσης, κράτη της Ευρωπαϊκής Ζώνης Ελεύθερων Συναλλαγών, καθώς και τον Καναδά, τη Γεωργία, τη Σερβία, την Κόστα Ρίκα, τη Σιγκαπούρη και τις ΗΠΑ ως προσκεκλημένα κράτη. Η Λετονία συμμετείχε ως παρατηρήτρια. Ο ετήσιος διαγωνισμός περιλαμβάνει προκλήσεις σχετικές με την κυβερνοασφάλεια, όπως προκλήσεις υλισμικού (hardware), ασφάλειας διαδικτύου και κινητών συσκευών, παζλ τα οποία σχετίζονται με την κρυπτογράφηση, αντίστροφης μηχανικής και ανάλυσης ψηφιακών πειστηρίων (forensics).

Δ.Ε.Ε. – Ιατρικοί φάκελοι

Υπέρ του δικαιώματος του ασθενή να λαμβάνει δωρεάν το πρώτο αντίγραφο του ιατρικού φακέλου του έκρινε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Η υπόθεση αφορούσε το αίτημα ασθενούς στη Γερμανία προς τον οδοντίατρο του, προκειμένου να λάβει αντίγραφο του ιατρικού φάκελου του, για να στοιχειοθετήσει στη συνέχεια την ευθύνη του πρώτου ως προς σφάλματα κατά την παροχή οδοντιατρικής περίθαλψης. Ο οδοντίατρος απαίτησε ωστόσο τη χρέωση του ασθενή με έξοδα για τη χορήγηση αντιγράφου του ιατρικού φακέλου, κατά τα προβλεπόμενα στο γερμανικό δίκαιο. Όπως έκρινε το ΔΕΕ, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων η επίμαχη οικονομική επιβάρυνση δεν μπορεί να γίνει δεκτή, καθώς αυτός προβλέπει την ικανοποίηση του σχετικού δικαιώματος δωρεάν.

Ηνωμένο Βασίλειο – Κλοπές

Κατευθύνσεις παρέχει η εποπτική αρχή σε καταστηματάρχες για την ορθή χρήση της τεχνολογίας στην προσπάθειά τους να καταπολεμήσουν τις κλοπές εντός των επιχειρήσεών τους. Η κοινολόγηση πληροφοριών για σχετικά εγκλήματα πιθανόν ενδείκνυται προς την αστυνομία ή άλλες αρχές επιβολής του νόμου, στον διαχειριστή άλλου καταστήματος εντός του ίδιου εμπορικού κέντρου και στους φύλακες του εμπορικού κέντρου. Πιθανόν δεν ενδείκνυνται όμως, η ανάρτηση φωτογραφιών υπόπτων στο χώρο του προσωπικού, η κοινολόγηση φωτογραφιών σε άλλες τοπικές επιχειρήσεις μέσω πλατφόρμας ανταλλαγής μηνυμάτων και η δημοσίευση πληροφοριών σε δημόσια ομάδα μέσου κοινωνικής δικτύωσης.

Η.Π.Α. – Πολεμικό Ναυτικό

Σε σχετική ανάρτηση στην ιστοσελίδα του προέβη το Πολεμικό Ναυτικό των ΗΠΑ με βέλτιστες πρακτικές κυβερνοασφάλειας σε περίπτωση τηλεργασίας ή ενασχόλησης με το διαδίκτυο σε χρόνο εκτός υπηρεσίας. Οι βέλτιστες πρακτικές διατυπώνονται από την αρμόδιο φορέα (Office of the Deputy Chief of Naval Operations for Information Warfare) στο πλαίσιο των δράσεων ευαισθητοποίησης κατά τη διάρκεια του προηγουμένου μήνα ως μήνα κυβερνοασφάλειας. Μεταξύ αυτών περιλαμβάνονται: α) μη προώθηση επαγγελματικών ηλεκτρονικών μηνυμάτων σε προσωπικούς λογαριασμούς ηλεκτρονικής αλληλογραφίας, β) αποθήκευση επαγγελματικού υλικού μόνο σε εξοπλισμό ο οποίος έχει χορηγηθεί από την υπηρεσία ή με τη χρήση εγκεκριμένων υπηρεσιών υπολογιστικού νέφους (cloud computing), γ) μη εκτύπωση επαγγελματικού υλικού στην οικία ή σε δημόσιους εκτυπωτές, δ) περιορισμός των πληροφοριών οι οποίες αναρτώνται στα μέσα κοινωνικής δικτύωσης.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 26/10/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Βράβευση

To βραβείο κατηγορίας People’s Choice Award της 45ης Παγκόσμιας Συνέλευσης Ιδιωτικότητας (Global Privacy Assembly), η οποία πραγματοποιήθηκε στις Βερμούδες από τις 15 έως τις 20 Οκτωβρίου, απονεμήθηκε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η απονομή έγινε για τη διαδικτυακή εργαλειοθήκη συμμόρφωσης με τον Γενικό Κανονισμό Προστασία Δεδομένων, την οποία ανέπτυξε η Αρχή. Στην τελετή της 20ής Οκτωβρίου παρευρέθηκε διαδικτυακά ο Διευθυντής Γραμματείας αυτής Δρ. Βασίλης Ζορκάδης, ο οποίος και παρέλαβε το βραβείο. Στη σύντομη ομιλία του σημείωσε, μεταξύ άλλων, ότι η εργαλειοθήκη συμμόρφωσης δίνει τη δυνατότητα να δημιουργούνται αυτόματα πληροφορίες και αρχεία δραστηριοτήτων επεξεργασίας, διαδικασίες, πολιτικές προστασίας δεδομένων, όροι χρήσης των ψηφιακών υπηρεσιών, έντυπα συγκατάθεσης, έντυπα δικαιωμάτων των υποκειμένων των δεδομένων και άλλα έγγραφα συμμόρφωσης, με βάση ένα σύνολο προτύπων βασικών εγγράφων.

Κύπρος – Διαγωνισμός ζωγραφικής

Το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διοργανώνει διαγωνισμό ζωγραφικής σε συνεργασία με το Υπουργείο Παιδείας, Αθλητισμού και Νεολαίας. O διαγωνισμός απευθύνεται στους μαθητές και τις μαθήτριες γυμνασιακού και λυκειακού κύκλου, δημόσιων και ιδιωτικών σχολείων, με θέμα «Προστασία Προσωπικών Δεδομένων στη Σχολική Μονάδα». Τα έργα που θα επιλεγούν, ενδεχομένως, να χρησιμοποιηθούν ως εξώφυλλο για την Ετήσια Έκθεση του Γραφείου Επιτρόπου, καθώς και για ενημερωτικές δράσεις προβολής και προώθησης του Γραφείου Επιτρόπου, περιλαμβανομένων δράσεων εορτασμού για την «Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων». Έπαθλο θα απονεμηθεί σε τρία νικητήρια έργα για κάθε κύκλο ξεχωριστά, ήτοι γυμνασιακό και λυκειακό κύκλο αντίστοιχα. Περισσότερες πληροφορίες διατίθενται στην ιστοσελίδα της εποπτικής αρχής.

Η.Π.Α. – Τηλεϊατρική

Δύο οδηγούς δημοσίευσε η αρμόδια υπηρεσία (Office of Civil Rights) του Υπουργείου Υγείας και Κοινωνικών Υπηρεσιών της χώρας (Department of Health and Human Services) στην ιστοσελίδα της, με σκοπό να διευκολυνθεί η κατανόηση από τους ασθενείς των κινδύνων ιδιωτικότητας και ασφάλειας στα δεδομένα υγείας τους, όταν χρησιμοποιούν υπηρεσίες τηλεϊατρικής, καθώς και τρόπων να περιορίσουν τους εν λόγω κινδύνους. O πρώτος οδηγός απευθύνεται στους φορείς οι οποίοι παρέχουν υπηρεσίες υγείας και τιτλοφορείται «Εκπαιδεύοντας ασθενείς σχετικά με τους κινδύνους ιδιωτικότητας και ασφάλειας στα δεδομένα υγείας, όταν χρησιμοποιούν τεχνολογίες απομακρυσμένης επικοινωνίας για τηλεϊατρική», με προτάσεις για την ενημέρωση των ασθενών. Ο δε δεύτερος οδηγός τιτλοφορείται «Συμβουλές ιδιωτικότητας και ασφάλειας σχετικά με την τηλεϊατρική για ασθενείς», με συστάσεις προς τους ασθενείς για την προστασία των δεδομένων υγείας τους.

Νέα Ζηλανδία – Τουαλέτες

Το ερώτημα του κατά πόσον μπορούν να εγκαταστήσουν συστήματα βιντεοεπιτήρησης στις τουαλέτες παιδιών και νέων, ώστε αποτραπούν αρνητικές συμπεριφορές, όπως η χρήση ηλεκτρονικού τσιγάρου και ο εκφοβισμός (bullying), έθεσαν σχολεία στην εποπτική αρχή. Όπως δήλωσε ο αρμόδιος επίτροπος, η επίμαχη εγκατάσταση δεν αποκλείεται εξ ορισμού, λαμβάνοντας όμως υπόψη ότι οι τουαλέτες αποτελούν εξαιρετικά ευαίσθητες ζώνες ιδιωτικότητας. Έτσι, θα πρέπει να ληφθούν υπόψη τα ακόλουθα σημεία: α) τα σχολεία πρέπει να είναι διαφανή ως προς τη χρήση συστήματος βιντεοεπιτήρησης, να έχουν σαφή σήμανση και ειδοποιήσεις γι’ αυτό, β) οι κάμερες να μην εστιάζουν σε ευαίσθητη δραστηριότητα, όπως τη χρήση της τουαλέτας και γ) να μην λαμβάνει χώρα καταγραφή ήχου, χωρίς προηγούμενη ειδική αξιολόγηση.

ΣτΕ – Παρακολουθήσεις

Η Κοινοβουλευτική Συνέλευση του Συμβουλίου της Ευρώπης (PACE), αναφερόμενη στα ολοένα και περισσότερα αποδεικτικά στοιχεία σχετικά με τη χρήση λογισμικού παρακολούθησης για μη νόμιμους σκοπούς από ορισμένα μέλη του Συμβουλίου της Ευρώπης (ΣτΕ), ζητά από πέντε κυβερνήσεις να παρέχουν σχετικές πληροφορίες εντός τριών μηνών και να διερευνήσουν πλήρως περιστατικά καταχρήσεων. Με την υιοθέτηση απόφασης για το λογισμικό παρακολούθησης «Πήγασος» (Pegasus) και παρόμοια λογισμικά, καθώς και για τις μυστικές κρατικές παρακολουθήσεις, η Κοινοβουλευτική Συνέλευση ζητά από τις Πολωνία, Ουγγαρία, Ελλάδα, Ισπανία και Αζερμπαϊτζάν να ερευνήσουν αμέσως και πλήρως όλες τις υποθέσεις καταχρήσεων με λογισμικό παρακολούθησης, να επιβάλουν κυρώσεις και να παρέχουν αποκατάσταση στα θύματα. Με την εν λόγω απόφαση καλούνται επίσης αλλά κράτη μέλη τα οποία φέρονται να έχουν αποκτήσει ή να έχουν χρησιμοποιήσει το «Πήγασος», συμπεριλαμβανομένων των Γερμανίας, Βελγίου, Λουξεμβούργου και Ολλανδίας, να παρέχουν πληροφορίες για τη χρήση του και τους σχετικούς μηχανισμούς επίβλεψης οι οποίοι έχουν υιοθετηθεί, εντός τριών μηνών. Η Κοινοβουλευτική Συνέλευση επισημαίνει ότι η μυστική παρακολούθηση πολιτικών αντιπάλων, δημοσίων λειτουργών, δημοσιογράφων, υπερασπιστών ανθρωπίνων δικαιωμάτων και της κοινωνίας των πολιτών, για σκοπούς άλλους από αυτούς οι οποίοι παρατίθενται στην Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου, όπως η πρόληψη εγκλημάτων και η προστασία της εθνικής ασφάλειας, αποτελούν σαφή παραβίαση της Σύμβασης.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 12/10/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Συνέδριο

Οι συνταγματικά κατοχυρωμένες ανεξάρτητες αρχές και συγκεκριμένα το Εθνικό Συμβούλιο Ραδιοτηλεόρασης, το Ανώτατο Συμβούλιο Επιλογής Προσωπικού, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ο Συνήγορος του Πολίτη και η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών διοργανώνουν για πρώτη φορά επιστημονικό συνέδριο με θέμα: «Συνταγματικά κατοχυρωμένες Ανεξάρτητες Αρχές: Η συμβολή τους σε ένα ευρωπαϊκό δημοκρατικό κράτος δικαίου». Το συνέδριο θα λάβει χώρα την Τετάρτη 1 Νοεμβρίου 2023 και ώρα 12:30 μ.μ., καθώς και την Πέμπτη 2 Νοεμβρίου 2023 και ώρα 09:00 π.μ., στο Αμφιθέατρο Cotsen Hall της Αμερικανικής Σχολής Κλασικών Σπουδών (Αναπήρων Πολέμου 9, Αθήνα). Στόχος του Συνεδρίου είναι η διερεύνηση της συμβολής των συνταγματικά κατοχυρωμένων ανεξάρτητων αρχών στην εμπέδωση της αρχής της νομιμότητας.

Κύπρος – Κοινοποίηση

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου εναντίον εταιρείας για παράνομη κοινοποίηση προσωπικών δεδομένων. Ο καταγγείλας ανέφερε ότι η εν λόγω εταιρεία απέστειλε ηλεκτρονικό ταχυδρομείο (email) σε κατηγορία πελατών της χρησιμοποιώντας την επιλογή CC αντί του BCC. Με τον τρόπο αυτό οι ηλεκτρονικές διευθύνσεις των παραληπτών ήταν ορατές σε όλους, ήτοι σε πέραν των 200 ατόμων, τα οποία βρίσκονταν στην επίμαχη λίστα. Κατόπιν συναφούς αιτήματος της εποπτικής αρχής, ο δικηγόρος της εταιρείας υποστήριξε ότι το email εστάλη εκ παραδρομής με την χρήση της επιλογής CC. Μόλις δε έγινε αντιληπτό το καλόπιστο σφάλμα, ελήφθησαν διορθωτικά μέτρα, με την αποστολή δεύτερου, απολογητικού email, το οποίο καλούσε τους παραλήπτες να διαγράψουν το πρώτο email από τα αρχεία τους. Η εποπτική αρχή περιορίστηκε στο να απευθύνει προειδοποίηση για την παράβαση στην εν λόγω εταιρεία.

Η.Π.Α. – Τεχνητή Νοημοσύνη

Ανησυχίες εκφράζουν καταναλωτές για τη χρήση της Τεχνητής Νοημοσύνης, σύμφωνα με σχετική ανάρτηση της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) στο Ιστολόγιο Τεχνολογίας (Technology Blog) αυτής. Ο προβληματισμός τους αφορά, μεταξύ άλλων, την περαιτέρω χρήση καταγραφών της φωνής τους, οι οποίες ενδέχεται να χρησιμοποιηθούν για την εκπαίδευση μοντέλων Τεχνητής Νοημοσύνης ή τη δημιουργία «αποτυπωμάτων φωνής», με τα μοναδικά χαρακτηριστικά της φωνής εκάστου εξ αυτών. Έτσι, καταναλωτής εξέφρασε την επιφύλαξή του στο να συνεχίσει να καλεί σε κέντρα εξυπηρέτησης πελατών, αφού άκουσε ηχητικό μήνυμα για την επικείμενη καταγραφή της κλήσης του, καθώς ανησυχεί ότι η καταγραφή θα μπορούσε στη συνέχεια να χρησιμοποιηθεί για την εκπαίδευση της Τεχνητής Νοημοσύνης με την περαιτέρω χρήση της φωνής του.

Κένυα – Πρόστιμα

Τρία πρόστιμα συνολικού ύψους περίπου 60.000 ευρώ επέβαλε η αρμόδια εποπτική αρχή για παραβάσεις της νομοθεσίας προστασίας των προσωπικών δεδομένων. Το πρώτο πρόστιμο αφορούσε ψηφιακό πιστωτικό φορέα, υπεύθυνο για τη λειτουργία εφαρμογών παροχής δανείων, αναφορικά με τη χρήση προσωπικών δεδομένων, τα οποία συνέλεξε από τρίτα μέρη, με σκοπό την αποστολή απειλητικών μηνυμάτων και πραγματοποίηση τηλεφωνικών κλήσεων. Το δεύτερο πρόστιμο επιβλήθηκε σε εστιατόριο για την ανάρτηση φωτογραφίας προσώπου, το οποίο διασκέδαζε, στα μέσα κοινωνικής δικτύωσης  χωρίς τη συγκατάθεσή του. Το δε τρίτο πρόστιμο αφορούσε εκπαιδευτικό ίδρυμα το οποίο δημοσίευσε στο διαδίκτυο φωτογραφίες ανηλίκων δίχως τη συγκατάθεση των γονέων τους.

Κροατία – Είσπραξη απαιτήσεων

Πρόστιμο ύψους 5,47 εκ. ευρώ επέβαλε η εποπτική αρχή σε εταιρεία είσπραξης απαιτήσεων για σειρά παραβιάσεων του Γενικού Κανονισμού Προστασίας Δεδομένων. Η αρμόδια αρχή κινητοποιήθηκε κατόπιν της λήψης ανώνυμης καταγγελίας για παράνομη επεξεργασία προσωπικών δεδομένων οφειλετών από πλευράς της εταιρείας είσπραξης απαιτήσεων. Η καταγγελία συνοδευόταν από εξωτερική κινητή κάρτα μνήμης (USB stick), η οποία περιείχε προσωπικά δεδομένα περίπου 182.000 οφειλετών. Κατόπιν του ελέγχου, ο οποίος ακολούθησε, διαπιστώθηκε ιδίως ότι η εταιρεία είσπραξης απαιτήσεων δεν είχε λάβει τα δέοντα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων, με αποτέλεσμα την απώλεια ελέγχου και την κοινολόγηση αυτών σε άγνωστη κατεύθυνση.

Ολλανδία – Εκδιδόμενα πρόσωπα

Την αντίθεσή της σε νομοσχέδιο για τη δημιουργία μητρώου υποχρεωτικής καταχώρισης εκδιδόμενων προσώπων σε επίπεδο δήμων εξέφρασε η αρμόδια εποπτική αρχή. Σκοπός αυτού είναι η καλύτερη πληροφόρηση των δημοτικών αρχών, γεγονός το οποίο θα μπορούσε να συμβάλει στην αντιμετώπιση εγκλημάτων, όπως η εμπορία ανθρώπων. Στην πραγματικότητα όμως, κατά την εποπτική αρχή, γεννάται ο κίνδυνος τα αποτελέσματα να είναι εντελώς αντίθετα, καθώς εκδιδόμενα πρόσωπα από τον φόβο της απώλειας της ιδιωτικότητάς τους ενδέχεται να επιδιώξουν την μη καταχώρισή τους. Έτσι, θα καταστούν πιο εύκολα ευάλωτα σε εκμετάλλευση και άλλες καταχρήσεις, καθώς θα δραστηριοποιούνται πλέον εκτός νομοθετικού πλαισίου. Χωρίς μέτρα πρόληψης αυτών των αρνητικών συνεπειών, το νομοσχέδιο δεν θα πρέπει να προχωρήσει.