Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 28/09/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

ΕΛ.ΑΣ. – Κακόβουλο λογισμικό

Συνεχίζονται οι προσπάθειες των επιτήδειων να εξαπατήσουν ανυποψίαστους πολίτες με νέο διακινούμενο ψευδεπίγραφο – απατηλό μήνυμα, μέσω ηλεκτρονικού ταχυδρομείου (email), με τη χρήση στοιχείων του Αρχηγού της Ελληνικής Αστυνομίας. Συγκεκριμένα, οι δράστες, αναφέροντας τα εν λόγω στοιχεία σε επιστολή δήθεν αρμόδιων ελεγκτικών αρχών, προσπαθούν να εξαπατήσουν χρήστες του διαδικτύου, με το πρόσχημα ότι ο αποδέκτης τους εμπλέκεται σε υπόθεση πορνογραφίας και άλλων αδικημάτων. Μάλιστα, στην προσπάθειά τους να προσδώσουν αληθοφάνεια στη σχετική επιστολή, χρησιμοποιούν το λογότυπο του Υπουργείου Προστασίας του Πολίτη, της Ελληνικής Αστυνομίας και της Interpol, καθώς και εντύπωμα σφραγίδας της Κύπρου με δήθεν υπογραφή του Αρχηγού της Ελληνικής Αστυνομίας. Κατά το οικείο δελτίο τύπου, παρακαλούνται οι πολίτες να μην ανταποκρίνονται και να διαγράφουν το συγκεκριμένο μήνυμα, καθώς και να μην ανοίγουν τα συνημμένα αρχεία για αποφυγή προσβολής από κακόβουλο λογισμικό.

Ένωση Τραπεζών – Φυσικές καταστροφές

Η Ελληνική Ένωση Τραπεζών ενημερώνει το συναλλακτικό κοινό ότι θα πρέπει να είναι εξαιρετικά επιφυλακτικό σε κακόβουλες επικοινωνίες που γίνονται από τρίτους, με πρόφαση την παροχή αποζημίωσης από τα καταστροφικά φυσικά φαινόμενα των τελευταίων δύο μηνών ή την καταβολή έκτακτου επιδόματος. Ειδικότερα τρίτοι, προσποιούμενοι ότι είναι υπάλληλοι τραπεζών, λογιστές, εφοριακοί, υπάλληλοι Υπουργείων ή εκπρόσωποι του https://arogi.gov.gr/ επικοινωνούν με ανυποψίαστους πολίτες και ζητούν ή παραπέμπουν σε απατηλές ιστοσελίδες για να υποκλέψουν στοιχεία τραπεζικών λογαριασμών και καρτών τους. Οι πολίτες θα πρέπει να είστε εξαιρετικά καχύποπτοι σε αυτές τις επικοινωνίες (τηλεφωνικές, με email ή SMS) και να μην αποκαλύπτουν τους κωδικούς τους στο e-Βanking / Mobile App ή τα στοιχεία της κάρτας τους ή τυχόν κωδικούς μίας χρήσης (OTP).

Ηνωμένο Βασίλειο – Γονιμότητα

Τον τρόπο με τον οποίο εφαρμογές παρακολούθησης της περιόδου και εφαρμογές παρακολούθησης της γονιμότητας επεξεργάζονται προσωπικά δεδομένα εξετάζει η εποπτική αρχή. Έμφαση δίδεται στο εάν οι χρήστες τους ενδέχεται να έλθουν αντιμέτωποι με επιβλαβείς συνέπειες ή να επηρεασθούν αρνητικά από τον τρόπο χρήσης ή κοινολόγησης των προσωπικών πληροφοριών τους από τις εν λόγω εφαρμογές. Για παράδειγμα, χρήστης μπορεί να λαμβάνει διαφημίσεις ή μηνύματα τα οποία τον αναστατώνουν ή είναι αναπάντεχα και τα οποία συνδέονται με την παροχή πληροφοριών στις εν λόγω εφαρμογές. Σε αυτό το πλαίσιο, εξετάζεται επίσης εάν εντοπίζονται και σχετικές καλές πρακτικές.

Η.Π.Α. – Νέα νομοθεσία

Η δωδέκατη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών έγινε το Ντέλαγουερ, μετά τις Αϊόβα, Βιρτζίνια, Γιούτα, Ιντιάνα, Καλιφόρνια, Κολοράντο, Κονέκτικατ, Μοντάνα, Όρεγκον, Τενεσί και Τέξας. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή την 1η Ιανουαρίου 2025. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Ντέλαγουερ ή παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το ποσοστό των ακαθάριστων εσόδων της εμπλεκόμενης οντότητας από την πώληση προσωπικών δεδομένων.

Ιρλανδία – TikTok

Πρόστιμο ύψους 345 εκ. ευρώ επέβαλε η εποπτική αρχή στη γνωστή πλατφόρμα TikTok για σειρά παραβάσεων ως προς την επεξεργασία προσωπικών δεδομένων παιδιών κατά την περίοδο 31 Ιουλίου – 31 Δεκεμβρίου 2020. Όπως διαπιστώθηκε, μεταξύ άλλων, η ρύθμιση στο προφίλ λογαριασμών παιδιών ήταν εξ ορισμού (by default)  δημόσια, το οποίο σήμαινε πως οποιοσδήποτε άλλος χρήστης εντός ή εκτός TikTok μπορούσε να έχει πρόσβαση στο υλικό το οποίο δημοσίευε το παιδί-χρήστης. Επίσης, η πλατφόρμα είχε υιοθετήσει τα λεγόμενα «σκοτεινά μοτίβα» (dark patterns), ωθώντας τους χρήστες της να επιλέγουν ρυθμίσεις σε βάρος της ιδιωτικότητάς τους κατά τη διαδικασία εγγραφής τους και ανάρτησης βίντεο.

Κίνα – Ψηφιακός Διάλογος

Τον δεύτερο Διάλογο Υψηλού Επιπέδου για ψηφιακά θέματα με την Κίνα πραγματοποίησε η Ευρωπαϊκή Επιτροπή. Υπό τη συμπροεδρία της Βιέρα Γιούροβα, Αντιπροέδρου αρμόδιας για τις Αξίες και τη Διαφάνεια, και του Αντιπροέδρου της Κίνας, Zhang Guoqing, ο διάλογος, ο οποίος διοργανώθηκε στο Πεκίνο, κάλυψε βασικά ζητήματα, όπως οι πλατφόρμες και η ρύθμιση των δεδομένων, η τεχνητή νοημοσύνη, η έρευνα και η καινοτομία, η διασυνοριακή ροή βιομηχανικών δεδομένων, καθώς και η ασφάλεια των προϊόντων τα οποία πωλούνται στο διαδίκτυο. Ο αρμόδιος Επίτροπος για τη Δικαιοσύνη και τα δικαιώματα των καταναλωτών, Ντιντιέ Ρεντέρς, συμμετείχε επίσης στις συζητήσεις με βιντεοσκοπημένο μήνυμα. Αμφότερα τα μέρη συμφώνησαν να συνεχίσουν τις συζητήσεις σε τεχνικό επίπεδο.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/09/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

ΥΠΠΡΟΠΟ – Δελτία ταυτότητας Ι

Σε πρόσφατο δελτίο τύπου του Υπουργείου Προστασίας του Πολίτη (ΥΠΠΡΟΠΟ) διευκρινίζεται ποια στοιχεία των πολιτών θα περιλαμβάνονται στα νέα δελτία ταυτότητας. Έτσι, στην εμπρόσθια πλευρά τους θα εκτυπώνονται τα εξής: φωτογραφία κατόχου, αριθμός δελτίου ταυτότητας, επώνυμο, όνομα, φύλο, ημερομηνία γέννησης, ιθαγένεια, ημερομηνία έκδοσης, ημερομηνία λήξης, αρχή έκδοσης και υπογραφή κατόχου. Στην πίσω πλευρά τους θα εκτυπώνονται τα εξής: όνομα πατέρα, όνομα μητέρας, τόπος γέννησης, υποχρεωτικά το ύψος από το 24ο έτος και προαιρετικά η ομάδα αίματος. Εφόσον αποφασισθεί σχετικά, έχει επίσης προβλεφθεί χώρος για να τυπωθεί ο προσωπικός αριθμός πολίτη. Στον δε ανέπαφο χώρο αποθήκευσης θα περιλαμβάνονται: φωτογραφία κατόχου σε ψηφιακή μορφή, στοιχεία μηχανικώς αναγνώσιμης ζώνης, δύο δακτυλικά αποτυπώματα, επώνυμο πατρός, επώνυμο μητρός, δήμος εγγραφής και αριθμός δημοτολογίου, καθώς και τόπος έκδοσης.

ΥΠΠΡΟΠΟ – Δελτία ταυτότητας ΙΙ

Στο ίδιο δελτίο τύπου διευκρινίζονται και τα ειδικά χαρακτηριστικά των νέων δελτίων ταυτότητας. Έτσι, αυτά θα κατασκευαστούν από πολυανθρακικό υλικό,  μορφοτύπου ID1 (τύπου πιστωτικής κάρτας) και διαστάσεων 85,6mm ± 0,75mm * 54,0mm ± 0,75mm. Όλα τα στοιχεία, περιλαμβανομένης της έγχρωμης φωτογραφίας, θα εκτυπώνονται με λέιζερ στο εσωτερικό στρώμα του δελτίου ταυτότητας. Θα περιλαμβάνεται μηχανικώς αναγνώριση ζώνη (MRZ), θα ενσωματώνονται δε ηλεκτρονικό μέσο αποθήκευσης, το οποίο θα λειτουργεί ανέπαφα, καθώς και σύγχρονα μέτρα ασφαλείας για την ενίσχυση της ασφάλειας και την αποτροπή προσπαθειών πλαστογράφησης. Το μέσο αποθήκευσης των νέων δελτίων ταυτότητας θα επικοινωνεί με τους αναγνώστες μέσω πρωτοκόλλου NFC (επικοινωνία κοντινού πεδίου). Η δυνατότητα ανάγνωσης δηλαδή του μέσου αποθήκευσης θα παρέχεται μόνο όταν τα δελτία έλθουν σε πολύ κοντινή απόσταση λίγων εκατοστών από τον αναγνώστη.

Η.Π.Α. – «Έξυπνα ρούχα»

«Έξυπνα ρούχα» τα οποία θα μπορούν να καταγράφουν ήχο, εικόνα και δεδομένα τοποθεσίας φιλοδοξεί να δημιουργήσει η αρμόδια υπηρεσία IARPA (Intelligence Advanced Research Projects Activity) του Γραφείου του Επικεφαλής των Υπηρεσιών Ασφαλείας της χώρας (ODNI). Τα εν λόγω ρούχα δεν θα διαφέρουν των συνηθισμένων ρούχων, όντας ιδίως έτοιμα να φορεθούν, άνετα, με αντοχή στον χρόνο, με δυνατότητα να τεντωθούν, να διπλωθούν και να πλυθούν. Μεταξύ άλλων, θα διευκολύνουν το προσωπικό των Υπηρεσιών Ασφαλείας, αλλά και άλλων υπηρεσιών, στο να μπορούν να ενεργούν με ταχύτητα και ασφάλεια σε επικίνδυνες περιστάσεις, οι οποίες οδηγούν σε υψηλά επίπεδα άγχους, όπως σε χώρους διάπραξης εγκλημάτων.

Ιρλανδία – Σχολεία

Συμβουλές προς τους γονείς σχετικά με την ανάρτηση φωτογραφιών των παιδιών τους στα μέσα κοινωνικής δικτύωσης, καμαρώνοντας για την επιστροφή τους στα σχολεία, παρέχει η εποπτική αρχή. Οι βασικές συμβουλές είναι τέσσερις: α) η φωτογραφία να μη συνοδεύεται από πληροφορίες οι οποίες επιτρέπουν την ταυτοποίηση του παιδιού και του σχολείου του, β) το φόντο της φωτογραφίας να μην αποκαλύπτει πρόσθετες πληροφορίες, όπως το έμβλημα του σχολείου, γ) το παιδί να συμφωνεί με την ανάρτηση της φωτογραφίας και δ) ο διαμοιρασμός της φωτογραφίας να γίνεται μόνο με φίλους ή στενούς φίλους του προφίλ των γονέων.

Ολλανδία – Αλκοολόμετρο

Η εποπτική αρχή αντιτίθεται με ανακοίνωσή της σε νομοσχέδιο για τη χρήση αλκοολόμετρου σε πρόσωπα στα οποία έχει επιβληθεί η απαγόρευση κατανάλωσης αλκοόλ. Κατά τα ισχύοντα, δικαστής ή εισαγγελέας δύναται να απαγορεύσει σε ύποπτο ή καταδικασθέντα τη χρήση αλκοόλ, απαγόρευση η οποία ελέγχεται μέσω περιοδικών αιματολογικών εξετάσεων ή εξετάσεων ούρων. Με τη ρύθμιση η οποία προωθείται τα εν λόγω πρόσωπα θα δύναται να υποχρεούνται να φέρουν αλκοολόμετρο με τη μορφή βραχιολιού στον αστράγαλο. Κατά την εποπτική αρχή είναι ασαφές το κατά πόσον η εν λόγω συσκευή είναι αξιόπιστη.

ENISA – Υποθαλάσσια καλώδια

Έκθεση για το οικοσύστημα υποθαλάσσιων καλωδίων και τις σημαντικές προκλήσεις κυβερνοασφάλειας, οι οποίες εγείρονται, δημοσίευσε ο Ευρωπαϊκός Οργανισμός για την Κυβερνοασφάλεια (ENISA). Όπως σημειώνεται, περισσότερο από το 97% των ηλεκτρονικών επικοινωνιών στο διαδίκτυο, σε παγκόσμιο επίπεδο, διέρχεται σε κάποιο στάδιο από υποθαλάσσια καλώδια. Πρόκειται για περίπου 400 καλώδια σε όλο τον κόσμο, τα οποία συνδέουν νησιά, χώρες, περιοχές και ηπείρους. Τα εν λόγω καλώδια αποτελούν ένα ζωτικό στοιχείο της παγκόσμιας υποδομής του διαδικτύου, συνδυασμένη δε επίθεση σε πλήθος αυτών θα μπορούσε να διαταράξει την ομαλή λειτουργία του. Επομένως, είναι κρίσιμης σημασίας η προστασία τους από κυβερνοεπιθέσεις, φυσικές επιθέσεις και άλλες απειλές. Κατά την Διεθνή Επιτροπή Προστασίας των Καλωδίων πάντως, σύμφωνα με έκθεσή της, τα περισσότερα συμβάντα σε υποθαλάσσια καλώδια οφείλονται σε ατυχήματα, εξαιτίας της αγκυροβόλησης και της αλιείας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 31/08/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Αργεντινή – Ίριδες ματιών

Έρευνα ξεκινά η αρμόδια εποπτική αρχή για τις δραστηριότητες εταιρείας, ενεργής στον χώρο των κρυπτονομισμάτων, η οποία καλεί τους πολίτες να σκανάρουν σε ειδικές συσκευές, ευρισκόμενες σε διάφορα σημεία ανά την χώρα, τις ίριδες των ματιών τους, έναντι οικονομικής αποζημίωσης, για λόγους μελλοντικής ταυτοποίησης. Βασικό στόχο του διενεργούμενου ελέγχου αποτελεί η επαλήθευση των μέτρων ασφαλείας τα οποία έχουν ληφθεί στο πλαίσιο προστασίας της ιδιωτικότητας των χρηστών της οικείας εφαρμογής. Η έρευνα θα αναλύσει πρωτίστως τις διαδικασίες και πρακτικές σε σχέση με τη συλλογή, αποθήκευση και χρήση των προσωπικών δεδομένωνν.

Αυστραλία – «Συγκομιδή δεδομένων»

Κοινό ανακοινωθέν για την αντιμετώπιση της «συγκομιδής» ή «απόξεσης» δεδομένων (data scraping) σε πλατφόρμες κοινωνικής δικτύωσης και άλλες δημοσίως προσβάσιμες ιστοσελίδες εξέδωσε η εποπτική αρχή, μαζί με 11 ακόμη ομόλογες αρχές (Ηνωμένο Βασίλειο, Ελβετία, Νέα Ζηλανδία, Τζέρσει, Αργεντινή, Καναδάς, Κίνα, Νορβηγία, Κολομβία, Μαρόκο και Μεξικό). Όπως σημειώνεται, οι τεχνολογίες «συγκομιδής δεδομένων», οι οποίες χρησιμοποιούνται όλο και περισσότερο για τη συλλογή και επεξεργασία τεράστιου όγκου προσωπικών δεδομένων από το διαδίκτυο, θέτει σημαντικά ζητήματα προστασίας της ιδιωτικότητας. Και αυτό γιατί οι εν λόγω τεχνολογίες μπορούν να χρησιμοποιηθούν σε βάρος της επίμαχης προστασίας.

Ηνωμένο Βασίλειο – Εκλογική Επιτροπή

Στόχος κυβερνοεπίθεσης κατέστη η Εκλογική Επιτροπή (Electoral Commission) της χώρας. Πρόκειται για ανεξάρτητη αρχή η οποία έχει ως κύρια αρμοδιότητά της την εποπτεία της διενέργειας των εκλογών. Παρά το ότι η δημοσιοποίησή του πραγματοποιήθηκε πρόσφατα, το συμβάν έγινε αντιληπτό ήδη από τον Οκτώβριο του 2022, με την πρώτη παράνομη πρόσβαση των δραστών να προσδιορίζεται χρονικά τον Αύγουστο του 2021. Οι κυβερνοεγκληματίες έλαβαν γνώση αντιγράφων των εκλογικών μητρώων, τα οποία περιελάμβαναν το ονοματεπώνυμο και τη διεύθυνση κάθε προσώπου στη Μεγάλη Βρετανία το οποίο είχε εγγραφεί για να ψηφίσει την περίοδο 2014-2022. Ομοίως, τα ονοματεπώνυμα όσων είχαν εγγραφεί ως εκλογείς του εξωτερικού κατά την ίδια περίοδο, καθώς και τα ονοματεπώνυμα και τις διευθύνεις όσων είχαν εγγραφεί στη Βόρεια Ιρλανδία το 2018. Το σύστημα ηλεκτρονικής αλληλογραφίας της Εκλογικής Επιτροπής κατέστη επίσης προσβάσιμο κατά τη διάρκεια της κυβερνοεπίθεσης.

Η.Π.Α. – Παιδιά

Πως μπορούν οι γονείς να ενθαρρύνουν τα παιδιά τους να χρησιμοποιούν τη διαδικτυακή τεχνολογία με ασφάλεια; Σε αυτό το ερώτημα επιχειρεί να απαντήσει πρόσφατη έρευνα επιστημόνων στο Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology). Καλή στρατηγική αποτελεί να μιλάμε στα παιδιά μας απευθείας για τη διαδικτυακή ιδιωτικότητα και ασφάλεια ήδη από τα σχολικά χρόνια τους. Στα προκαταρκτικά ευρήματα της έρευνας και τις προτεινόμενες στρατηγικές περιλαμβάνονται οι ακόλουθες συνοπτικές παραδοχές: α) «δεν είναι ποτέ πολύ νωρίς για να γίνουν σχετικές συζητήσεις στα παιδιά», β) «οι συζητήσεις με τα παιδιά τα βοηθούν να καταλάβουν καλύτερα πώς να περιηγούνται στον ψηφιακό κόσμο» και γ) «εκτιμήστε ότι τα παιδιά μπορούν να βλέπουν τον ψηφιακό κόσμο διαφορετικά».

Ινδία – Νέα νομοθεσία

Γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων υιοθέτησε η Ινδία, έπειτα από μακρά διαδικασία, γεγονός εξαιρετικά σημαντικό εξαιτίας, μεταξύ άλλων, και του πολύ μεγάλου πληθυσμού της χώρας. Σκοπός του νέου νόμου είναι να προβλέψει για την επεξεργασία των ψηφιακών προσωπικών δεδομένων με τρόπο ο οποίος αναγνωρίζει τόσο το δικαίωμα των ατόμων στην προστασία αυτών όσο και την ανάγκη επεξεργασίας τους για νόμιμους σκοπούς, καθώς και για ζητήματα τα οποία συνδέονται με αυτούς. Πρόκειται για τον Νόμο για την Προστασία των Ψηφιακών Προσωπικών Δεδομένων (Digital Personal Data Protection Act), o οποίος θα τεθεί σε εφαρμογή κατόπιν έκδοσης αποφάσεων της κεντρικής κυβέρνησης.

Φινλανδία – Ταξί

Εντολή προς δύο εταιρείες, οι οποίες δραστηριοποιούνται στον χώρο παροχής υπηρεσιών ταξί, για προσωρινή απαγόρευση των διαβιβάσεων προσωπικών δεδομένων πελατών τους στη Ρωσία, στις οποίες προβαίνουν, και διακοπή της επεξεργασίας αυτών εξέδωσε η εποπτική αρχή. Η εντολή κατέστη κατά την εθνική Αρχή Προστασίας Δεδομένων επιβεβλημένη, κατόπιν πληροφοριών τις οποίες έλαβε. Σύμφωνα με αυτές, στις αρχές Σεπτεμβρίου τίθεται σε εφαρμογή νομοθετική ρύθμιση στη Ρωσία, υπό την οποία ρωσική αρχή ασφαλείας θα δύναται να λάβει προσωπικά δεδομένα που σχετίζονται με λειτουργίες υπηρεσιών ταξί, όπως την τοποθεσία ενός πελάτη και τον προορισμό του με τη χρήση ταξί. Εν όψει αυτού του γεγονότος, κρίθηκε ότι δεν είναι εφεξής δυνατή η προστασία των προσωπικών δεδομένων, όπως επιβάλλεται από το ενωσιακό δίκαιο, άνευ της αναστολής των διαβιβάσεων. Η απόφαση έχει περιορισμένη χρονική ισχύ και θα επανεξεταστεί.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 11/08/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Ηλεκτρονική αλληλογραφία

Η αποστολή προωθητικών μηνυμάτων email χωρίς την προηγούμενη συγκατάθεση του αποδέκτη τους απασχόλησε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η υπόθεση ήχθη ενώπιον αυτής κατόπιν καταγγελίας φαρμακοποιού για λήψη διαφημιστικών emails σε τέσσερις διαφορετικές ηλεκτρονικές διευθύνσεις του. Αυτές χρησιμοποιούνταν μόνο για συναλλαγές με συγκεκριμένο φορέα κοινωνικής ασφάλισης, δεν είχαν δε γνωστοποιηθεί στον αποστολέα των προωθητικών μηνυμάτων. Ο τελευταίος μάλιστα δεν μπόρεσε να προσδιορίσει με ακρίβεια στην εποπτική αρχή την πηγή προέλευσής τους. Για τους λόγους αυτούς η ΑΠΔΠΧ απηύθυνε στην εταιρεία η οποία απέστειλε τα emails επίπληξη, επιβάλλοντας και την κύρωση της προειδοποίησης για τις διαπιστωθείσες παραβάσεις.

Κύπρος – Προεδρικές εκλογές

Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τις τελικές αποφάσεις του σε σχέση με τις πρόσφατες προεδρικές εκλογές. Με αυτήν οι πολίτες ενημερώνονται ότι ολοκληρώθηκε η διερεύνηση των παραπόνων τα οποία υποβλήθηκαν κατά τη διάρκεια των προεδρικών εκλογών και τα οποία αφορούσαν σε τηλεφωνικές κλήσεις, καθώς και σε ανεπιθύμητα προωθητικά μηνύματα sms. Πρόκειται για 25 παράπονα τα οποία είχαν υποβληθεί στον πρώτο γύρο εκλογών και 52 παράπονα τα οποία είχαν υποβληθεί στον δεύτερο γύρο εκλογών. Από τα 77 προαναφερθέντα παράπονα σε 44 επιβλήθηκε διοικητική κύρωση προστίμου, συνολικού ποσού 41.000 ευρώ, σε 6 επιβλήθηκε η διοικητική κύρωση της προειδοποίησης και σε μία περίπτωση έγινε σύσταση. Στην Υπηρεσία Εκλογών προωθήθηκαν 48 από τα 77 παράπονα.

Βραζιλία – Κοινωνική δικτύωση

Έλεγχο εξήγγειλε, σε συνέχεια προκαταρκτικών ενεργειών, η εποπτική αρχή της χώρας στο νέο μέσο κοινωνικής δικτύωσης Threads του τεχνολογικού κολοσσού Meta Platforms, ο οποίος παρέχει επίσης τις πλατφόρμες κοινωνικής δικτύωσης Facebook και Instagram. Όπως ήδη διαπιστώθηκε πάντως, σε συνάντηση με εκπροσώπους της εταιρείας, το Threads δεν προβαίνει σε αυτήν τη φάση σε προβολή διαφημίσεων προς τους χρήστες του, με αποτέλεσμα η επεξεργασία των προσωπικών δεδομένων αυτών να μη συνδέεται με τη δημιουργία εσόδων. Υπενθυμίζεται ότι το Threads παρέχει στους χρήστες του τη δυνατότητα δημοσίευσης κειμένου έως 500 χαρακτήρων, στο οποίο μπορεί να συμπεριλαμβάνονται σύνδεσμοι (links), φωτογραφίες και βίντεο διάρκειας έως 5 λεπτών. Η νέα διαδικτυακή εφαρμογή είναι συνδεδεμένη με το Instagram.

Ηνωμένο Βασίλειο – Κυβερνοασφάλεια

Οι επιχειρήσεις και οι πολίτες της χώρας ανέφεραν ένα ύποπτο email ή μια ύποπτη ιστοσελίδα ανά πέντε δευτερόλεπτα το 2022, σύμφωνα με μια νέα έκθεση του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC). Συνολικά 7,1 εκ. ύποπτα emails και διευθύνσεις ιστοσελίδων επισημάνθηκαν σε αυτό μέσω της ειδικής διαδικτυακής υπηρεσίας, η οποία παρέχεται δωρεάν σε κάθε ενδιαφερόμενο, ήτοι το ισοδύναμο σχεδόν 20.000 αναφορών σε ημερήσια βάση. Το Εθνικό Κέντρο Κυβερνοασφάλειας χρειάστηκε κατά μέσο όρο λιγότερο από 6 ώρες για την αφαίρεση επισημανθείσας κακόβουλης διεύθυνσης ιστοσελίδας από το διαδίκτυο. Από τον Απρίλιο του 2020, όταν και τέθηκε στη διάθεση του κοινού η προαναφερθείσα υπηρεσία, οι εν λόγω επισημάνσεις έχουν καταστήσει εφικτή την άμεση αφαίρεση σχεδόν 235.000 κακόβουλων διευθύνσεων ιστοσελίδων.

Η.Π.Α. – Νέα νομοθεσία

Η ενδέκατη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών έγινε το Όρεγκον, μετά τις Αϊόβα, Βιρτζίνια, Γιούτα, Ιντιάνα, Καλιφόρνια, Κολοράντο, Κονέκτικατ, Μοντάνα, Τενεσί και Τέξας. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή την 1η Ιουλίου 2024. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Όρεγκον ή παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το ποσοστό των ακαθάριστων εσόδων της εμπλεκόμενης οντότητας από την πώληση προσωπικών δεδομένων.

Λατινική Αμερική – Ψηφιακή Συμμαχία

Την εγκαθίδρυση μιας «Ψηφιακής Συμμαχίας» (EU-LAC Digital Alliance), μεταξύ αφενός της Ευρωπαϊκής Ένωσης και αφετέρου της Αργεντινής, των Μπαχαμών, των Μπαρμπάντος, της Βραζιλίας, της Χιλής, της Κολομβίας, της Κόστα Ρίκα, της Δομινικανής Δημοκρατίας, του Εκουαδόρ, του Ελ Σαλβαδόρ, της Γουατεμάλας, της Ονδούρας, της Τζαμάικας, του Μεξικού, του Παναμά, της Παραγουάης, του Περού, του Σουρινάμ, του Τρινιντάντ και Τομπάγκο, καθώς και της Ουρουγουάης, ανακοίνωσε η Ευρωπαϊκή Επιτροπή. Πρόκειται για ένα ανεπίσημο, βασισμένο σε αξίες πλαίσιο συνεργασίας, ανοιχτό σε όλα τα κράτη της Λατινικής Αμερικής και της Καραϊβικής (LAC), καθώς και τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Στόχος η εμβάθυνση της συνεργασίας στα ψηφιακά ζητήματα, μεταξύ των οποίων συγκαταλέγεται και η προστασία των δεδομένων.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 27/07/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Παρακολουθήσεις

Δελτίο τύπου εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για τις ενέργειές της σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα. Σε αυτό, μεταξύ άλλων, παρέχονται στοιχεία για το modus operandi των δραστών κατά την απόπειρα εγκατάστασης του εν λόγω λογισμικού προς χρήστες κινητής τηλεφωνίας στην Ελλάδα. Η επίμαχη απόπειρα συνίσταται στην αποστολή μηνύματος SMS προς τον αριθμό κινητού τηλεφώνου ενός αποδέκτη-στόχου. Τα μηνύματα SMS αυτού του είδους περιέχουν σύντομο κείμενο και σύνδεσμο σε ιστοσελίδα, ο οποίος είναι παραπλανητικός, καθώς έχει μεγάλη ομοιότητα με μια πραγματική ιστοσελίδα. Στην περίπτωση κατά την οποία ο αποδέκτης του μηνύματος SMS ενεργοποιήσει τον σύνδεσμο που περιέχεται σε αυτό, επιλέγοντάς τον, τότε λαμβάνει χώρα εγκατάσταση του κατασκοπευτικού λογισμικού στη συσκευή του.

Κυβερνοασφάλεια – «Ψάρεμα»

Το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου phishing σε χρήστες ηλεκτρονικού ταχυδρομείου, κινητών τηλέφωνων αλλά και μέσων κοινωνικής δικτύωσης, σύμφωνα με την Εθνική Αρχή Κυβερνοασφάλειας. Ειδικότερα, λαμβάνονται ψευδή μηνύματα ηλεκτρονικής αλληλογραφίας (emails), τα οποία προσομοιώνουν αίτημα από την υπηρεσία eGov- KYC, ζητώντας στοιχεία επικοινωνίας από τον πολίτη. Περαιτέρω, τις τελευταίες ημέρες παρατηρείται αυξημένος αριθμός μηνυμάτων σχετικά με δήθεν επιστροφές φόρου ή δήθεν χορήγηση επιδομάτων. Οι πολίτες καλούνται να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής και αν φαίνεται ο αποστολέας ή τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων, οι οποίοι δρουν με αυτό τον τρόπο. Υπενθυμίζεται ότι το phishing συνιστά κακόβουλη ενέργεια εξαπάτησης των χρηστών του διαδικτύου.

E.E. – Τουρισμός

Στην παρουσίαση των δομικών στοιχείων ενός κοινού ευρωπαϊκού χώρου δεδομένων για τον τουρισμό προέβη η Ευρωπαϊκή Επιτροπή. Ο εν λόγω χώρος δεδομένων, όταν υλοποιηθεί, θα επιτρέψει στις τουριστικές επιχειρήσεις και στις δημόσιες αρχές να ανταλλάσσουν ευρύ φάσμα δεδομένων με σκοπό την ενημέρωση σχετικά με την ανάπτυξη καινοτόμων τουριστικών υπηρεσιών, τη βελτίωση της βιωσιμότητας του τουριστικού οικοσυστήματος και την ενίσχυση της οικονομικής ανταγωνιστικότητάς του. Έτσι, για παράδειγμα, ένας ταξιδιωτικός πράκτορας θα έχει καλύτερη εικόνα των προσφορών σε διαφορετικές περιοχές.

Η.Π.Α. – Διαβιβάσεις

Αίρονται τα εμπόδια τα οποία αντιμετώπιζαν επιχειρήσεις εντός της Ευρωπαϊκής Ένωσης (ΕΕ) για τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, κατόπιν έκδοσης σχετικής απόφασης επάρκειας για το πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ από την Ευρωπαϊκή Επιτροπή. Η απόφαση καταλήγει στο συμπέρασμα ότι οι ΗΠΑ εξασφαλίζουν επαρκές επίπεδο προστασίας, το οποίο είναι συγκρίσιμο με εκείνο της ΕΕ, για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ σε εταιρείες των ΗΠΑ βάσει του νέου πλαισίου. Χάρη στη νέα απόφαση επάρκειας, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διοχετεύονται με ασφάλεια από την ΕΕ στις εταιρείες των ΗΠΑ που συμμετέχουν στο πλαίσιο, χωρίς να χρειάζεται να υπάρχουν πρόσθετες εγγυήσεις για την προστασία των δεδομένων.

Ιταλία – Άσεμνο υλικό

Μια από τις μεγαλύτερες ιστοσελίδες πορνογραφικού υλικού στο διαδίκτυο θέτει στο στόχαστρο της η εποπτική αρχή. Σε συνέχεια υποβληθείσας καταγγελίας, η εταιρεία που διαχειρίζεται την ιταλική έκδοση της ιστοσελίδας καλείται να παρέχει πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων των επισκεπτών αυτής, στην οποία προβαίνει. Ο έλεγχος εστιάζεται κυρίως στο αν λαμβάνει χώρα κατάρτιση προφίλ των χρηστών και εάν ναι, με ποια μέσα και για ποιους σκοπούς. Ερευνάται επίσης αν νομίμως εγκαθίστανται cookies στα τερματικά των επισκεπτών και χρησιμοποιούνται αλλά εργαλεία παρακολούθησης αυτών, αν, και υπό ποιες προϋποθέσεις, διαβιβάζονται προσωπικά δεδομένα των χρηστών σε τρίτα μέρη, αν έχουν ληφθεί μέτρα εξακρίβωσης της ηλικίας των επισκεπτών και πώς αυτοί μπορούν να ασκήσουν τα δικαιώματά τους τα οποία απορρέουν από τη νομοθεσία για την προστασία των προσωπικών δεδομένων.

Χονγκ Κονγκ – Περιστατικά παραβίασης

Νέο οδηγό για τον χειρισμό περιστατικών παραβίασης προσωπικών δεδομένων και τις επακόλουθες γνωστοποιήσεις εξέδωσε η εποπτική αρχή. Όλοι οι οργανισμοί οι οποίοι θα αντιμετωπίσουν περιστατικό παραβίασης καλούνται να ακολουθήσουν πέντε βασικά βήματα για τον επιτυχή χειρισμό του: α) άμεση συλλογή των αναγκαίων πληροφοριών, β) περιορισμός του περιστατικού παραβίασης, γ) εκτίμηση του κινδύνου βλάβης, δ) αξιολόγηση του κατά πόσο απαιτούνται γνωστοποιήσεις και ε) τεκμηρίωση του περιστατικού παραβίασης. Κατά τον αρμόδιο Επίτροπο ο αριθμός των σχετικών συμβάντων έχει αυξηθεί τα τελευταία έτη, με οργανισμούς όλων των μεγεθών και τομέων δραστηριότητας να έχουν καταστεί θύματα κυβερνοεπιθέσεων, ανθρώπινων λαθών και εν γένει ανάλογων συμβάντων. Στον οδηγό, ως ενδεικτικό παράδειγμα περιστατικού παραβίασης αναφέρεται ιδίως η αποστολή email με προσωπικά δεδομένα σε λάθος παραλήπτη.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 13/07/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Νομική Σχολή

Μνημόνιο Συνεργασίας υπογράφηκε μεταξύ της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και της Νομικής Σχολής Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. Το Μνημόνιο υπεγράφη από τον Πρόεδρο της Αρχής κ. Κωνσταντίνο Μενουδάκο και τον Κοσμήτορα της Νομικής Σχολής καθηγητή κ. Λίνο-Αλέξανδρο Γ. Σισιλιάνο. Η ΑΠΔΠΧ και η Νομική Σχολή συμφώνησαν να συνεργαστούν ενεργά με στόχο την από κοινού προώθηση της εκπαιδευτικής, ερευνητικής και εν γένει επιστημονικής δράσης τους, προς όφελος της ενημέρωσης και της διαρκούς επιμόρφωσης του δυναμικού τους σχετικά με το δίκαιο των προσωπικών δεδομένων. Οι κ.κ. Μενουδάκος και Σισιλιάνος δήλωσαν, μεταξύ άλλων, ότι η έναρξη συστηματικής συνεργασίας και η ενίσχυση των δεσμών μεταξύ των δύο φορέων θα αποφέρει οφέλη για την πιο αποτελεσματική εκπλήρωση της αποστολής τους.

Κύπρος – Ψηφιοποίηση

Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα αναφορικά με σχετικά θέματα επικαιρότητας τα οποία απασχολούν το κοινό, στα οποία συμπεριλαμβάνεται και το ζήτημα της ψηφιοποίησης υπηρεσιών. Ως προς αυτό, επισημαίνεται ότι οι τεχνολογικές λύσεις που εφαρμόζονται πρέπει να είναι σύμφωνες με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Αν οι πολίτες εξαναγκάζονται να δίνουν την διεύθυνση ηλεκτρονικού ταχυδρομείου άλλου προσώπου, λ.χ. για να λαμβάνουν ή να πληρώνουν ένα λογαριασμό κοινής ωφελείας, αυτό παραβιάζει τον Γενικό Κανονισμό. Επίσης, δεν μπορεί να απαιτείται από αυτούς να έχουν διεύθυνση ηλεκτρονικού ταχυδρομείου, ώστε να λάβουν μία υπηρεσία. Αντίθετα, στους πολίτες πρέπει να παρέχονται και εναλλακτικές λύσεις, καθώς ορισμένοι δεν έχουν ψηφιακές δεξιότητες, ενώ άλλοι δεν διαθέτουν πρόσβαση στο διαδίκτυο από την οικία τους.

Δ.Ε.Ε. – Δελτία ταυτότητας

Νόμιμη είναι κατά τη Γενική Εισαγγελέα του Δικαστηρίου της Ευρωπαϊκής Ένωσης (Δ.Ε.Ε.) L. Medina η υποχρεωτική συλλογή και αποθήκευση δακτυλικών αποτυπωμάτων σε δελτία ταυτότητας, χωρίς αυτή να συνιστά αδικαιολόγητο περιορισμό του δικαιώματος σεβασμού της ιδιωτικής ζωής έναντι της επεξεργασίας προσωπικών δεδομένων. Πρόκειται για μη δεσμευτικές προτάσεις σε εκκρεμή υπόθεση ενώπιον του ΔΕΕ, στο πλαίσιο των αρμοδιοτήτων της Γενικής Εισαγγελέως. Σημείο εκκίνησης της υπόθεσης αποτέλεσε η αίτηση Γερμανού πολίτη σε δήμο της Γερμανίας για έκδοση νέου δελτίου ταυτότητας χωρίς την ενσωμάτωση των δακτυλικών αποτυπωμάτων του στο μικροκύκλωμά της. Και αυτό, παρά την πρόβλεψη της οικείας ενωσιακής νομοθεσίας για υποχρέωση ενσωμάτωσης σε όλα τα νεοεκδιδόμενα από τα κράτη μέλη δελτία ταυτότητας – σε μέσο αποθήκευσης υψηλής ασφάλειας – εικόνας των δακτυλικών αποτυπωμάτων του κατόχου του δελτίου ταυτότητας. Κατόπιν της απόρριψης της εν λόγω αίτησης από τον δήμο, η υπόθεση ήχθη ενώπιον του αρμόδιου διοικητικού πρωτοδικείου, το οποίο αποφάσισε την αποστολή σειράς συναφών προδικαστικών ερωτημάτων στο ΔΕΕ.

Ιταλία – Νεκροταφείο

Πρόστιμα ύψους 176.000 ευρώ και 239.000 ευρώ αντίστοιχα επέβαλε η εποπτική αρχή σε δημοτική αρχή και εταιρεία αυτής για την κοινολόγηση προσωπικών δεδομένων γυναικών οι οποίες υποβλήθηκαν σε άμβλωση. Κατά τις οικείες διαπιστώσεις, ο τοπικός φορέας παροχής υπηρεσιών υγείας διαβίβαζε έγγραφα με τα δεδομένα ταυτοποίησης των εν λόγω γυναικών στη δημοτική εταιρεία διαχείρισης νεκροταφείων. Αυτή κατέγραφε τα προσωπικά δεδομένα στα οικεία μητρώα, καθιστώντας εφικτή την εύρεση όλων των γυναικών οι οποίες είχαν υποβληθεί σε άμβλωση σε όλα τα νοσοκομεία της περιοχής. Προχωρούσε δε στη συνέχεια στην αναγραφή αυτών επί των σταυρών οι οποίοι τοποθετούνταν στους τάφους των εμβρύων. Η πρακτική αυτή ερχόταν, μεταξύ άλλων, σε αντίθεση με τη νομοθεσία η οποία προβλέπει ότι στους τάφους αναγράφονται μόνο τα στοιχεία των θανόντων.

Ρωσία – Βιομετρική αναγνώριση

Απόφαση κατά της Ρωσίας εξέδωσε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου για παραβίαση του άρθρου 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), το οποίο αφορά το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής, και παραβίαση του άρθρου 10 αυτής, το οποίο αφορά την ελευθερία έκφρασης. Η υπόθεση αφορούσε τη φερόμενη χρήση τεχνολογίας αναγνώρισης προσώπου από τις αρχές για την ταυτοποίηση, εντοπισμό, σύλληψη και επιβολή διοικητικού προστίμου σε διαδηλωτή. Αυτό φαίνεται να επετεύχθη καταρχάς μέσω ανάλυσης δημοσιευθέντων φωτογραφιών και βίντεο σχετικά με την επίμαχη πράξη διαμαρτυρίας, ληφθέντων από μέσο κοινωνικής δικτύωσης, στη συνέχεια δε μέσω αξιοποίησης συστήματος καμερών στον υπόγειο της Μόσχας, τον οποίο χρησιμοποιούσε ο διαδηλωτής. Κατά το δικαστήριο, δεδομένου ότι επρόκειτο για ειρηνική διαμαρτυρία ενός διαδηλωτή, ο οποίος δεν είχε προκαλέσει κίνδυνο στη δημόσια τάξη ή ασφάλεια, η χρήση τεχνολογίας αναγνώρισης προσώπου για την περίπτωσή του ήταν ασύμβατη με τα ιδανικά και τις αξίες μιας δημοκρατικής κοινωνίας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 29/06/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Τηλεπικοινωνίες

Πρόστιμο ύψους 40.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε μεγάλη εταιρεία τηλεπικοινωνιών για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων. Στην εν λόγω υπόθεση συνδρομήτρια αιτήθηκε να αποκτήσει πρόσβαση σε ηχογραφημένες τηλεφωνικές επικοινωνίες της με εκπροσώπους της εταιρείας, στο πλαίσιο αμφισβήτησης συνδρομητικού προγράμματος το οποίο της πωλήθηκε τηλεφωνικά. Όταν όμως έλαβε ταχυδρομικά στην οικία της τον σχετικό φάκελο, διαπίστωσε ότι αυτός περιείχε CD με καταγεγραμμένες συνομιλίες τρίτου προσώπου με την εταιρεία και όχι συνομιλίες της ιδίας. Όπως έκρινε η ΑΠΔΠΧ, εν προκειμένω παραβιάσθηκε το δικαίωμα πρόσβασης της συνδρομήτριας στα προσωπικά δεδομένα της, καθώς ουδέποτε έλαβε τις ηχογραφήσεις οι οποίες την αφορούσαν. Περαιτέρω, η εμπλεκόμενη εταιρεία δεν γνωστοποίησε στην εποπτική αρχή το περιστατικό εσφαλμένης αποστολής ηχογραφήσεων, παρά το ότι υποχρεούτο ως προς αυτό.

Κύπρος – Βιογραφικά

Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου Κύπρου για τη δημοσίευση βιογραφικών σημειωμάτων αξιωματούχων και μελών συμβουλίων νομικών προσώπων δημοσίου δικαίου. Σύμφωνα με αυτήν, κάθε πράξη επεξεργασίας προσωπικών δεδομένων πρέπει να στηρίζεται σε κατάλληλη νομική βάση. Έτσι, η δημοσίευση βιογραφικών σημειωμάτων είναι σύμφωνη με τον Γενικό Κανονισμό Προστασίας Δεδομένων όταν προβλέπεται από ειδική νομοθεσία. Στην απουσία ειδικής νομοθεσίας, επαφίεται στον κάθε αξιωματούχο και μέλος συμβουλίου να αξιολογήσει κατά πόσο ενδείκνυται η δημοσίευση του βιογραφικού σημειώματός του. Κατά το Γραφείο Επιτρόπου, πάντως, η  δημοσίευση των βιογραφικών σημειωμάτων προσώπων τα οποία κατέχουν δημόσια αξιώματα εξυπηρετεί την αρχή της διαφάνειας.

Γαλλία – Μελλοντολογία

Πρόστιμο ύψους 150.000 ευρώ επέβαλε η εποπτική αρχή για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων και του σχετικού εθνικού πλαισίου σε εταιρεία η οποία λειτουργεί σειρά ιστοσελίδων παροχής υπηρεσιών μαντείας μέσω διαδικτυακής συζήτησης ή τηλεφώνου. Οι παραβιάσεις σχετίζονταν, μεταξύ άλλων, με τη συστηματική ηχογράφηση τηλεφωνικών κλήσεων, τη συλλογή δεδομένων υγείας και πληροφοριών σχετικά με τον γενετήσιο προσανατολισμό, την τήρηση τραπεζικών δεδομένων, την υποχρέωση γνωστοποίησης περιστατικού παραβίασης και την εφαρμογή των κανόνων σχετικά με την εγκατάσταση cookies. Ιδίως ως προς τις τηλεφωνικές κλήσεις, διαπιστώθηκε ότι λάμβανε χώρα η ηχογράφηση όλων των κλήσεων μεταξύ τηλεφωνητών και υποψήφιων πελατών, καθώς και μεταξύ μελλοντολόγων και πελατών, χωρίς να καταδειχθεί ότι αυτό ήταν αναγκαίο.

Ευρωβουλή – Τεχνητή Νοημοσύνη

Ένα μεγάλο βήμα προς τα εμπρός για την υιοθέτηση από την Ευρωπαϊκή Ένωση του πρώτου συνολικού πλέγματος κανόνων στον κόσμο για τη ρύθμιση της Τεχνητής Νοημοσύνης έγινε με την έγκριση από το Ευρωπαϊκό Κοινοβούλιο της διαπραγματευτικής θέσης του. Το επόμενο στάδιο είναι οι συνομιλίες με το Συμβούλιο, ώστε να επιτευχθεί συμφωνία για την τελική μορφή της επίμαχης νομοθεσίας. Στόχος των κανόνων είναι να καταστεί η Τεχνητή Νοημοσύνη ανθρωποκεντρική, αξιόπιστη και χωρίς επιβλαβείς επιπτώσεις στην υγεία, την ασφάλεια, τα θεμελιώδη δικαιώματα και τη δημοκρατία. Έτσι, κατά την Ευρωβουλή, η χρήση της Τεχνητής Νοημοσύνης σε συγκεκριμένες περιπτώσεις θα πρέπει να απαγορευθεί.

Ηνωμένο Βασίλειο – Εγκέφαλος

Για τον πραγματικό κίνδυνο δυσμενών διακρίσεων από τη χρήση νέων τεχνολογιών για την παρακολούθηση της λειτουργίας του εγκεφάλου προειδοποιεί η εποπτική αρχή. Κατά την πρόβλεψή της, η οποία όπως τονίζεται δεν αποτελεί επιστημονική φαντασία, η χρήση της τεχνολογίας για την παρακολούθηση νευρο-δεδομένων, ήτοι πληροφοριών οι οποίες πηγάζουν από τον εγκέφαλο και το νευρικό σύστημα, θα επεκταθεί ευρέως την επόμενη δεκαετία. Οι δυσμενείς διακρίσεις στη νευροτεχνολογία θα μπορούσαν να συμβούν, εφόσον αναπτυχθούν μοντέλα τα οποία θα ενσωματώνουν μεροληπτικές προσεγγίσεις, με αποτέλεσμα άστοχες υποθέσεις για ανθρώπους και κοινότητες. Στον χώρο εργασίας, για παράδειγμα, σχετικά νευρο-πρότυπα θα μπορούσαν να θεωρηθούν εσφαλμένα ως μη επιθυμητά, με συνέπεια συγκεκριμένοι εργαζόμενοι, στους οποίους αυτά διαπιστώνονται, να στερούνται στη συνέχεια εργασιακών ευκαιριών.

Η.Π.Α. – Νέα νομοθεσία

Η δέκατη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών έγινε το Τέξας, μετά τις Μοντάνα, Τενεσί, Ιντιάνα, Αϊόβα, Βιρτζίνια, Γιούτα, Καλιφόρνια, Κολοράντο και Κονέκτικατ. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή την 1η Ιουλίου 2024. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Τέξας και παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται η εμπλοκή της οντότητας με την πώληση προσωπικών δεδομένων, αλλά και ο μη χαρακτηρισμός της ως μικρής επιχείρησης κατά το οικεία κριτήρια. Το Τέξας καθίσταται η πέμπτη πολιτεία των ΗΠΑ η οποία υιοθετεί γενικό νομοθετικό πλαίσιο κατά το τρέχον έτος, γεγονός αυξημένης βαρύτητας λόγω του μεγάλου πληθυσμού του.

Στο άρθρο “Οι νέες ταυτότητες οδηγούν στην αριθμοποίηση του προσώπου” της Μαρίας Κορνάρου, το οποίο δημοσιεύθηκε στην ‘Εστία της Κυριακής’ στις 16.07.2023, φιλοξενήθηκαν τα ακόλουθα σχόλια του Α. Κορωναίου:

“Από την πλευρά των ειδικών, πάντως, οι απόψεις διίστανται, καθώς είναι σαφές ότι ο βαθμός διεισδύσεως της τεχνολογίας στην καθημερινότητά μας συνεπάγεται ήδη τον διαμοιρασμό των προσωπικών δεδομένων μας με τρίτους, καθώς και την αποθήκευσή τους σε βάσεις δεδομένων στις οποίες δεν έχουμε απαραίτητα πρόσβαση. Όπως δήλωσε στην ‘ΕτΚ’ ο δικηγόρος και ειδικός στις υποθέσεις προσωπικών δεδομένων, κ. Αιμίλιος Κορωναίος, όσον αφορά ιδίως στις νέες ταυτότητες, το ισχύον πλαίσιο για την προστασία των προσωπικών δεδομένων είναι εξαιρετικά αυστηρό, με ένα πυκνό πλέγμα ρυθμίσεων, διαμορφωμένο ιδίως χάρη στη δραστηριότητα του Έλληνα νομοθέτου, της Ευρωπαϊκής Ενώσεως και του Συμβουλίου της Ευρώπης. Τυχόν παρέκκλισις από αυτό, αν τυχόν προκύψει, μπορεί να διαγνωστεί, ώστε να διασφαλιστούν τα δικαιώματα των πολιτών“.

Εστία Ημερήσια Εφημερίς: www.estianews.gr

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 8/06/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Επέτειος

Μήνυμα απηύθυνε ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για την επέτειο των πέντε ετών από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Σύμφωνα με αυτό, η εποπτική αρχή ανταποκρίθηκε στον μέγιστο δυνατό βαθμό στις αρμοδιότητες και τα καθήκοντα που της ανατέθηκαν με τον ευρωπαϊκό Κανονισμό και τον εθνικό νόμο 4624/2019. Μεταξύ των πολλών δραστηριοτήτων της την τελευταία πενταετία, εξέτασε σημαντικά ζητήματα και εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντήριων γραμμών, δίδοντας παράλληλα έμφαση και στην ενημέρωση-ευαισθητοποίηση φορέων και πολιτών. Τα τελευταία πέντε έτη υποβλήθηκαν στην ΑΠΔΠΧ 5.508 καταγγελίες και 936 γνωστοποιήσεις παραβίασης δεδομένων. Κατά το ίδιο χρονικό διάστημα επιβλήθηκαν 92 πρόστιμα συνολικού ποσού 31.977.000 ευρώ, ύστερα από εξέταση καταγγελιών ή αυτεπάγγελτους ελέγχους.

Κύπρος – Επέτειος ΙΙ

Ανακοίνωση εξέδωσε και το Γραφείο Επιτρόπου Κύπρου για την επέτειο των πέντε ετών από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Σύμφωνα με αυτήν, κατά την εν λόγω περίοδο η εποπτική αρχή χειρίστηκε 397 γνωστοποιήσεις περιστατικών παραβίασης προσωπικών δεδομένων και 2.178 παράπονα, εκ των οποίων τα 651 αφορούσαν σε ανεπιθύμητη επικοινωνία. Το Γραφείο Επιτρόπου εξέδωσε 224 αποφάσεις και επέβαλε διοικητικά πρόστιμα ύψους 1.445.600 ευρώ. Διενήργησε 491 ελέγχους, ενώ έτυχαν διαβούλευσης με αυτή 76 εκτιμήσεις αντικτύπου, καθώς και 177 νομοσχέδια, προτάσεις νόμου και διακρατικές συμφωνίες. Όπως σημειώνεται, οι προκλήσεις που αντιμετωπίζουν οι εποπτικές αρχές είναι αναρίθμητες. Στο πλαίσιο αυτό, το Γραφείο Επιτρόπου εντείνει τις προσπάθειες για την εδραίωση και διατήρηση της κουλτούρας προστασίας δεδομένων.

Γερμανία – Πιστωτικές κάρτες

Πρόστιμο ύψους 300.000 ευρώ επέβαλε η εποπτική αρχή του Βερολίνου σε τράπεζα για την έλλειψη διαφάνειας κατά την αυτοματοποιημένη απόρριψη αίτησης έκδοσης πιστωτικής κάρτας. Σύμφωνα με το ιστορικό της υπόθεσης, πελάτης της τράπεζας υπέβαλε αίτηση μέσω της ιστοσελίδας της για την έκδοση πιστωτικής κάρτας. Η αξιολόγηση της αίτησης έγινε αυτοματοποιημένα μέσω αλγορίθμων με τη λήψη υπόψη διαφόρων δεδομένων. Σε συνέχεια της αυτοματοποιημένης απόρριψης, χωρίς ειδική αιτιολόγηση, ο πελάτης, ο οποίος διέθετε υψηλό εισόδημα σε τακτική βάση, την αμφισβήτησε, υποβάλλοντας σε δεύτερο χρόνο καταγγελία στην εποπτική αρχή. Κατά την κρίση της τελευταίας, η τράπεζα όφειλε να είχε ενημερώσει τον πελάτη για τους κύριους λόγους της απόρριψης, πράγμα το οποίο δεν έπραξε.

Ε.Σ.Π.Δ. – Αλλαγή ηγεσίας

Με την προαναφερθείσα επετειακή ανακοίνωσή του, το Γραφείο Επιτρόπου Κύπρου ενημερώνει και για την αλλαγή ηγεσίας στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Στη θέση του Προέδρου του σώματος εξελέγη για πενταετή θητεία η Επίτροπος της Φιλανδίας κυρία Anu Talus και στη θέση της Αντιπροέδρου η Επίτροπος της Κύπρου, κυρία Ειρήνη Λοϊζίδου Νικολαΐδου. Κατά την εν λόγω ανακοίνωση, η εκλογή της Επιτρόπου Κύπρου ως Αντιπροέδρου του ΕΣΠΔ αποτελεί ιδιαίτερη τιμή, αποδεικνύοντας ότι η Κύπρος έχει λόγο και μπορεί να υπηρετήσει Ευρωπαϊκά όργανα από εκλέξιμες θέσεις. Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί ανεξάρτητο θεσμικό όργανο της Ευρωπαϊκής Ένωσης με κύριο στόχο του τη διασφάλιση της συνεκτικής εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων σε όλο τον Ευρωπαϊκό Οικονομικό Χώρο.

Ηνωμένο Βασίλειο – Φυλακή

Επίπληξη απηύθυνε η εποπτική αρχή στο Υπουργείο Δικαιοσύνης για το ότι εμπιστευτικά έγγραφα τα οποία προορίζονταν για καταστροφή αφέθηκαν εκτεθειμένα σε μη ασφαλή περιοχή φυλακής. Αυτό είχε ως αποτέλεσμα κρατούμενοι και προσωπικό να έχουν πρόσβαση σε 14 σάκους με εμπιστευτικά έγγραφα για χρονικό διάστημα 18 ημερών, τα οποία έγγραφα περιείχαν ιατρικές πληροφορίες και πληροφορίες ελέγχων ασφαλείας. Κατά την επίμαχη χρονική περίοδο, κρατούμενοι προέβησαν εμφανώς σε ανάγνωση σχετικών εγγράφων, τα οποία βρίσκονταν σε αυτή την κατάσταση λόγω του ότι η εταιρεία που είχε αναλάβει την καταστροφή τους δεν τα είχε απομακρύνει εγκαίρως.

Η.Π.Α. – Νέα νομοθεσία

Η όγδοη και ένατη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών έγιναν η Μοντάνα και το Τενεσί, μετά τις Ιντιάνα, Βιρτζίνια, Γιούτα, Καλιφόρνια, Κολοράντο, Κονέκτικατ και Αϊόβα. Οι νέοι νόμοι, οι οποίοι υιοθετήθηκαν, θα τεθούν σε εφαρμογή την 1η Οκτωβρίου 2024 και 1η Ιουλίου 2025 αντίστοιχα. Θα αφορούν οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στην εκάστοτε πολιτεία ή παράγουν προϊόντα / παρέχουν υπηρεσίες που απευθύνονται σε καταναλωτές αυτής. Για να κληθούν σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το ποσοστό των ακαθάριστων εσόδων της εμπλεκόμενης οντότητας από την πώληση προσωπικών δεδομένων.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 25/05/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

ΕΛ.ΑΣ. – Ψηφιακό γύμνωμα

Σύμφωνα με δελτίο τύπου της Ελληνικής Αστυνομίας (ΕΛ.ΑΣ.), συνελήφθη, στο πλαίσιο του αυτοφώρου, από αστυνομικούς του Τμήματος Ασφαλείας Ασπροπύργου της Διεύθυνσης Ασφαλείας Αττικής, 15χρονος ημεδαπός, σε βάρος του οποίου σχηματίσθηκε δικογραφία για προσβολή γενετήσιας ευπρεπείας και παράβαση της νομοθεσίας περί προστασίας προσωπικών δεδομένων. Ο κατηγορούμενος, αφού πρώτα προέβη στην υποκλοπή φωτογραφιών δύο ανήλικων κοριτσιών από πλατφόρμα κοινωνικής δικτύωσης, τις επεξεργάστηκε μέσω προγράμματος επεξεργασίας φωτογραφιών, ώστε να εμφαίνονται οι εικονιζόμενες γυμνές. Στη συνέχεια, απέστειλε τις επεξεργασμένες φωτογραφίες σε κοινή συνομιλία που είχε με τρεις τουλάχιστον συμμαθητές του μέσω της ίδιας πλατφόρμας.

Κύπρος – Cookies

Το Γραφείο Επιτρόπου Κύπρου, σε σχέση με ενέργειες στις οποίες προβαίνει σε ιστοσελίδες για τη χρήση cookies, ενημερώνει ότι έχουν ολοκληρωθεί περί τους 30 ελέγχους, αφορώντες κυρίως σε ειδησεογραφικές και άλλες συναφείς ιστοσελίδες ενημέρωσης του κοινού. Υπενθυμίζεται ότι τα cookies είναι μικρά αρχεία δεδομένων τα οποία αποθηκεύονται από έναν δικτυακό τόπο στον υπολογιστή ή στη φορητή συσκευή του επισκέπτη. Για την εγκατάστασή τους, με βάση τη νομοθεσία, απαιτείται η λήψη συγκατάθεσης των χρηστών, με εξαίρεση όσα είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας να παρέχει την υπηρεσία την οποία έχει ζητήσει ρητά ο χρήστης. Μεταξύ των προβλημάτων τα οποία διαπιστώθηκαν κατά τους ελέγχους περιλαμβάνεται η απουσία ενημέρωσης στις περισσότερες ιστοσελίδες για τους σκοπούς χρήσης των cookies και η μη λήψη ρητής συγκατάθεσης των χρηστών γι’ αυτά.

Αυστρία – Αναγνώριση προσώπου

Σε έκδοση εντολής διαγραφής των προσωπικών δεδομένων προχώρησε η εποπτική αρχή σε βάρος αμερικανικής εταιρείας με αντικείμενο εργασιών την παροχή υπηρεσιών αναγνώρισης προσώπου. Η εν λόγω εταιρεία φέρεται να διαθέτει βάση δεδομένων η οποία περιλαμβάνει 30 δις φωτογραφίες προσώπων από όλη την υφήλιο, τις οποίες έχει συλλέξει από διαδικτυακές, δημοσίως προσβάσιμες πηγές, όπως ειδησεογραφικές ιστοσελίδες, μέσα κοινωνικής δικτύωσης και διαδικτυακά βίντεο. Σε αυτό το πλαίσιο, παρέχεται εξελιγμένη μηχανή αναζήτησης η οποία καθιστά δυνατή την ταυτοποίηση προσώπων μέσω σχετικών αναζητήσεων. Κατά την εποπτική αρχή οι επίμαχες επεξεργασίες προσωπικών δεδομένων παραβιάζουν σειρά ρυθμίσεων του Γενικού Κανονισμού Προστασίας Δεδομένων.

Ηνωμένο Βασίλειο – Αστυνομία

Επίπληξη απηύθυνε η εποπτική αρχή στην αστυνομία του Σάρρεϋ και του Σάσεξ. Όπως διαπιστώθηκε, μέλη του προσωπικού είχαν πρόσβαση σε εφαρμογή (application) η οποία ηχογραφούσε όλες τις εισερχόμενες και εξερχόμενες κλήσεις. 1.015 μέλη του προσωπικού την εγκατέστησαν στα υπηρεσιακά κινητά τηλέφωνά τους, με αποτέλεσμα περισσότερες από 200.000 τηλεφωνικές συνομιλίες, πιθανώς με θύματα, μάρτυρες και δράστες αδικημάτων, να καταγραφούν αυτομάτως. Και αυτό, λόγω του ότι η εφαρμογή κατέστη προσβάσιμη στο σύνολο του προσωπικού, παρά το ότι η χρήση της προοριζόταν για ειδικές μόνο περιπτώσεις από μικρό αριθμό αστυνομικών. Η εποπτική αρχή δεν προέβη στην επιβολή προστίμου ύψους 1 εκ. λιρών, στο πλαίσιο της αναθεωρημένης προσέγγισής της σε υποθέσεις που αφορούν τον δημόσιο τομέα, σύμφωνα με την οποία πρόστιμα επιβάλλονται μόνο στις πιο σοβαρές υποθέσεις.

Η.Π.Α. – Νέα νομοθεσία

H έβδομη πολιτεία της χώρας η οποία υιοθέτησε γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών κατέστη η Ιντιάνα, μετά τις Βιρτζίνια, Γιούτα, Καλιφόρνια, Κολοράντο, Κονέκτικατ και Αϊόβα. Ο νέος νόμος θα τεθεί σε εφαρμογή την 1η Ιανουαρίου 2026. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στην Ιντιάνα ή παράγουν προϊόντα / παρέχουν υπηρεσίες που απευθύνονται σε καταναλωτές της πολιτείας. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το ποσοστό των ακαθάριστων εσόδων της εμπλεκόμενης οντότητας από την πώληση προσωπικών δεδομένων.

Νορβηγία – Παντοπωλεία

Σε απαγόρευση της επεξεργασίας προσωπικών δεδομένων τα οποία αφορούν τις αγορές από τους πολίτες τροφίμων και ειδών για το σπίτι προέβη η εποπτική αρχή προς την εθνική στατιστική αρχή. Η πρόσβαση στα εν λόγω προσωπικά δεδομένα είναι εφικτή μέσω δεδομένων τραπεζικών συναλλαγών και μπορεί να οδηγήσει σε περαιτέρω συνδέσεις με κοινωνιολογικά και οικονομικά δεδομένα, όπως κατηγορίες νοικοκυριών, εισόδημα και επίπεδο εκπαίδευσης. Κατά την εποπτική αρχή, επιβάλλεται να τεθεί ένα όριο στο ποια προσωπικά δεδομένα των πολιτών μπορούν να τύχουν επεξεργασίας από δημόσιες αρχές, ακόμη και αν ο σκοπός της επεξεργασίας συνδέεται με το δημόσιο συμφέρον. Διαφορετικά, οι δυσανάλογοι περιορισμοί του δικαιώματος στην ιδιωτικότητα μπορούν μακροπρόθεσμα να οδηγήσουν ιδίως στην εξασθένιση της εμπιστοσύνης των πολιτών στις δημόσιες αρχές.