Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 3/02/2022

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM

Α.Π.Δ.Π.Χ. – Τηλεπικοινωνίες

Το μεγαλύτερο πρόστιμο στην ιστορία της ποσού ύψους 9.250.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε δύο εταιρείες πολύ μεγάλου ομίλου παροχής υπηρεσιών τηλεπικοινωνιών. Η υπόθεση αφορούσε περιστατικό παραβίασης τον Σεπτέμβριο του 2020, εξαιτίας του οποίου διέρρευσαν δεδομένα κλήσεων εκατομμυρίων συνδρομητών. Κατά τη διάρκεια του σχετικού ελέγχου εντοπίστηκε σειρά παραβάσεων. Πέραν των πολλών σημείων της οικείας απόφασης που παρουσιάζουν ιδίως νομικό ενδιαφέρον, αξιοσημείωτη είναι η επαναλαμβανόμενη αστοχία συμμόρφωσης. Έτσι, το 2019 είχαν επιβληθεί δύο ακόμη πρόστιμα ύψους 200.000 ευρώ έκαστο σε εταιρεία του ίδιου ομίλου, τα οποία αποτελούν και το προηγούμενο ρεκόρ κυρώσεων της ΑΠΔΠΧ. Το δε 2018 είχε επιβληθεί πάλι πρόστιμο ύψους 150.000 ευρώ σε εταιρεία του ίδιου ομίλου.

Κύπρος – Δικαστική απόφαση

Συνεχίζοντας την επισκόπηση των αποφάσεων της Ετήσιας Έκθεσης για το 2020 του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου, η οποία δημοσιεύθηκε προ ημερών, κατά το οικείο έτος υποβλήθηκε στο Γραφείο Επιτρόπου καταγγελία κατά δικηγόρου. Σύμφωνα με αυτήν, ο δικηγόρος ανήρτησε δικαστική απόφαση σε μέσο κοινωνικής δικτύωσης, η οποία περιείχε αναφορά ονόματος μάρτυρα της επίμαχης δίκης. Όπως έκρινε το Γραφείο Επιτρόπου, οι δικαστικές αποφάσεις μπορεί μεν να εκφωνούνται δημόσια και οι ακροάσεις να εκδικάζονται δημόσια, αυτό όμως δεν σημαίνει ότι η κοινοποίησή τους σε τρίτους, οι οποίοι δεν ήταν παρόντες στη διαδικασία, ή η δημοσίευσή τους σε μέσα κοινωνικής δικτύωσης, είναι επιτρεπτή άνευ όρων. Τα δε ονόματα των μαρτύρων πρέπει πάντα να τυγχάνουν ανωνυμοποίησης.

Ε.Ε.Π.Δ. – «Σκάνδαλο Σνόουντεν;»

Εντολή στην «Europol», τον οργανισμό επιβολής του νόμου της Ευρωπαϊκής Ένωσης, απηύθυνε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ). Το περιεχόμενό της συνίσταται στη μαζική διαγραφή μεγάλου όγκου προσωπικών δεδομένων τα οποία βρίσκονται στη διάθεση του οργανισμού για πρόσωπα, χωρίς αυτά να έχουν συνδεθεί με εγκληματική δραστηριότητα. Κατά τον ΕΕΠΔ, η «Europol» οφείλει εντός συγκεκριμένου χρονικού διαστήματος να «φιλτράρει» το σύνολο των προσωπικών δεδομένων τα οποία έχει στη διάθεσή της και να τηρεί μόνο αυτά για τα οποία, κατόπιν κατηγοριοποίησης, προκύπτει ότι αφορούν πρόσωπα συνδεόμενα με εγκληματική δραστηριότητα. Η υπόθεση έχει προκαλέσει αίσθηση, με ορισμένους να μιλούν για ευρωπαϊκή εκδοχή σκανδάλου α λα Σνόουντεν. Ο τελευταίος είχε αποκαλύψει το 2013 απόρρητες πληροφορίες για προγράμματα μαζικής παρακολούθησης τα οποία εφήρμοζαν κυρίως οι ΗΠΑ.

Η.Π.Α. – Αναγνώριση προσώπου

Στη δημιουργία ειδικής ιστοσελίδας για την τεχνολογία αναγνώρισης προσώπου προέβη το Υπουργείο Δικαιοσύνης της πολιτείας του Νιου Τζέρσεϊ. Μέσω αυτής, οι πολίτες καλούνται να εκφράσουν την άποψή τους για τις υπό εκπόνηση ρυθμίσεις, ώστε να υιοθετηθεί πλαίσιο χρήσης της εν λόγω τεχνολογίας στις έρευνες των αρχών επιβολής του νόμου. Υπενθυμίζεται ότι η νέα αυτή προσέγγιση καθιστά εφικτή την  αναγνώριση ή ταυτοποίηση ενός ατόμου με τη χρήση ειδικού λογισμικού, το οποίο αξιοποιεί υφιστάμενα «αποτυπώματα» προσώπων. Τα τελευταία έχουν δημιουργηθεί βάσει συγκεκριμένων χαρακτηριστικών της γεωμετρίας του προσώπου, όπως η απόσταση μεταξύ των ματιών, καθώς και η απόσταση μεταξύ μετώπου και σαγονιού. Όπως σημειώνεται, η αξιοποίησή της διευκολύνει το αστυνομικό έργο, γεννά όμως και κινδύνους για την ιδιωτικότητα.

Ισπανία – Φωτογραφίες εργαζομένων

Ακριβά καλείται να πληρώσει εταιρεία την παράνομη χρήση φωτογραφίας εργαζομένου της στην ιστοσελίδα της και στους λογαριασμούς της στα μέσα κοινωνικής δικτύωσης. Όπως καταγγέλθηκε στην εποπτική αρχή από τον θιγόμενο, οι σχετικές αναρτήσεις έγιναν χωρίς τη συγκατάθεσή του, δεδομένου ότι αυτός είχε σχηματίσει την εντύπωση ότι το φωτογραφικό υλικό προοριζόταν μόνο για εσωτερική χρήση. Περαιτέρω, η εταιρεία αρνήθηκε παράνομα να προβεί σε διαγραφή των αναρτήσεων, παρά το ότι ο εργαζόμενος προέβη στην υποβολή σχετικού αιτήματος. Για τους λόγους αυτούς επιβλήθηκε στην εργοδοσία πρόστιμο ύψους 9.000 ευρώ.

Νορβηγία – Βουλή

Πρόθεση επιβολής προστίμου στη Βουλή ύψους περίπου 200.000 ευρώ εξέφρασε η εθνική εποπτική αρχή, σύμφωνα με πρόσφατο σχέδιο απόφασής της. Η υπόθεση αφορά περιστατικό παραβίασης το οποίο έλαβε χώρα το 2020. Κατά τη διάρκειά του, κακόβουλοι χρήστες απέκτησαν πρόσβαση σε ηλεκτρονικές διευθύνσεις εργαζομένων της Βουλής και μέσω αυτών σε προσωπικά δεδομένα τους, όπως οικονομικά δεδομένα και δεδομένα υγείας. Το συμβάν έγινε αντιληπτό όταν εργαζόμενος ενημερώθηκε από την τράπεζά του για την απόπειρα παράνομης χρήσης κάρτας του στο εξωτερικό. Όπως διαπιστώθηκε, η Βουλή δεν είχε προχωρήσει στην ενεργοποίηση ταυτοποίησης δύο παραγόντων («two-factor authentication») για την είσοδο στους λογαριασμούς ηλεκτρονικού ταχυδρομείου, παρά το ότι είχε αναγνωριστεί προ του συμβάντος η σχετική ανάγκη.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 20/01/2022

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM

Α.Π.Δ.Π.Χ. – Υπουργείο Τουρισμού

Βαρύ πρόστιμο ύψους 75.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στο Υπουργείο Τουρισμού. Σύμφωνα με  σχετικά αναφορά προς αυτή, κατά την προσπάθεια πολίτη να συνδεθεί σε πλατφόρμα του Υπουργείου εμφανίστηκαν τα στοιχεία αίτησης άλλου προσώπου, τα οποία περιλάμβαναν ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, ταχυδρομική διεύθυνση, τηλέφωνο, email, καθώς και πεδία με τυχόν στοιχεία αναπηρίας. Για το εν λόγω περιστατικό παραβίασης προσωπικών δεδομένων δεν υποβλήθηκε γνωστοποίηση στην ΑΠΔΠΧ από το Υπουργείο, παρά το ότι υπήρχε συναφής υποχρέωση. Κατά την εξέταση της υπόθεσης διαπιστώθηκε επίσης ότι το Υπουργείο Τουρισμού δεν είχε ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) την κρίσιμη περίοδο, παρά το ότι στην ως άνω πλατφόρμα αναφερόταν -μη ενεργή- ηλεκτρονική διεύθυνση του ΥΠΔ προς επικοινωνία.

Κύπρος – Δελτίο ταυτότητας

Πλήθος υποθέσεων οι οποίες απασχόλησαν το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου περιέχει η Ετήσια Έκθεσή του για το 2020, η οποία προσφάτως παραδόθηκε από την επικεφαλής του Γραφείου στον Πρόεδρο της Δημοκρατίας. Μεταξύ αυτών, άμεσο πρακτικό ενδιαφέρον έχει η καταγγελία πολίτη ότι κατά την επίσκεψη σε ξενοδοχείο του ζητήθηκε η ταυτότητά του, η οποία φωτοτυπήθηκε, ώστε να κρατηθεί αντίγραφό της. Οι σχετικές ενστάσεις που πρόβαλε αγνοήθηκαν. Όπως έκρινε το Γραφείο Επιτρόπου, τα ξενοδοχεία δικαιούνται να συλλέγουν τον αριθμό δελτίου ταυτότητας / διαβατηρίου των πελατών τους, αλλά δεν δικαιούνται να φωτοτυπούν / διατηρούν αντίγραφο. Η σχετική πρακτική έρχεται σε αντίθεση με σειρά αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως «GDPR».

Βουλγαρία – Παρακολουθήσεις

Με πρόσφατη απόφασή του (υπόθεση Ekimdzhiev και λοιποί κατά Βουλγαρίας) το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου έκρινε ότι η σχετική νομοθεσία που διέπει τις μυστικές παρακολουθήσεις στη χώρα (όπως οπτική παρακολούθηση και παρακολούθηση επικοινωνιών, ιδίως τηλεπικοινωνιών) για λόγους εθνικής ή δημόσιας ασφάλειας δεν ανταποκρίνεται στις απαιτήσεις της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου και δεν επιτυγχάνει τον περιορισμό των παρακολουθήσεων στις απολύτως αναγκαίες. Τα ίδια προβλήματα εντοπίστηκαν αναφορικά με τις ρυθμίσεις που διέπουν την τήρηση και πρόσβαση σε δεδομένα επικοινωνιών από κρατικές υπηρεσίες. Οι καταγγέλλοντες έθεσαν ενώπιον του δικαστηρίου τον κίνδυνο να τεθούν υπό μυστική παρακολούθηση, καθώς και να αποκτηθεί πρόσβαση στα δεδομένα των επικοινωνιών τους, παρά το ότι το νομοθετικό πλαίσιο ήταν προβληματικό.

Γιβραλτάρ – Εργαζόμενοι

Οδηγίες για την επεξεργασία προσωπικών δεδομένων των εργαζομένων εξέδωσε η εποπτική αρχή. Μεταξύ άλλων, δίδονται κατευθύνσεις για τις υποχρεώσεις των εργοδοτών, ιδίως την υποχρέωση λήψης μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων, τις πρακτικές επιλογής και πρόσληψης εργαζομένων, την ενημέρωση για την επεξεργασία των προσωπικών δεδομένων, την παρακολούθηση στον χώρο εργασίας, την τηλεργασία και τα δικαιώματα των εργαζομένων. Όπως σημειώνεται, οι οικείες υποχρεώσεις διαφοροποιούνται ανάλογα με το μέγεθος και τη φύση των εργασιών της εκάστοτε επιχείρησης. Ως προς τον έλεγχο του εργασιακού παρελθόντος υποψήφιου εργαζομένου, προκρίνεται η αναζήτηση των σχετικών πληροφοριών να γίνεται απευθείας από τον ίδιο με σκοπό να ελεγχθεί και όχι απευθείας από τρίτες πηγές, καθώς η τελευταία προσέγγιση θεωρείται περισσότερο παρεμβατική.

Ιορδανία – Νέα νομοθεσία

Σχέδιο νόμου για την επεξεργασία των προσωπικών δεδομένων προτάθηκε προς υιοθέτηση στη χώρα. Σκοπός του είναι ιδίως να επιτύχει την προστασία των προσωπικών δεδομένων υπό το πρίσμα της ευκολίας συλλογής και τήρησής τους, προλαμβάνοντας σχετικές παραβιάσεις και ενισχύοντας το υφιστάμενο συνταγματικό πλαίσιο. Με τις εν λόγω ρυθμίσεις καθορίζονται τα δικαιώματα και οι υποχρεώσεις των εμπλεκομένων μερών, καθώς και οι κυρώσεις για όσους αδιαφορούν, ώστε να δημιουργηθεί ένα περιβάλλον ασφαλείας και σταθερότητας. Προβλέπεται επίσης η δημιουργία Συμβουλίου Προστασίας Προσωπικών Δεδομένων με εποπτικό ρόλο. Όπως σημειώνεται, ο νέος νόμος αναμένεται να ενισχύσει την εμπιστοσύνη στη συμμετοχή στην ψηφιακή οικονομία και να συμβάλει στην ενθάρρυνση τόσο του ηλεκτρονικού εμπορίου όσο και παροχής λοιπών υπηρεσιών γενικότερα.

Τουρκία – «Cookies»

Σχέδιο κατευθυντήριων γραμμών για την επεξεργασία προσωπικών δεδομένων μέσω «cookies» εξέδωσε η εποπτική αρχή της χώρας. Με την οικεία ανακοίνωση καλούνται οι ενδιαφερόμενοι να υποβάλουν τις σχετικές παρατηρήσεις τους μέσω της ειδικής φόρμας, ώστε να ακολουθήσει η οριστικοποίησή τους. Υπενθυμίζεται ότι τα «cookies» αποτελούν μικρά αρχεία κειμένου που αποθηκεύονται από έναν δικτυακό τόπο στον υπολογιστή ή στη φορητή συσκευή του επισκέπτη. Τα εν λόγω «μπισκότα» μπορούν να χρησιμοποιηθούν ως μέσο παρακολούθησης της συμπεριφοράς του επισκέπτη και κατάρτισης προφίλ του στο διαδίκτυο. Για την εγκατάστασή τους απαιτείται υπό προϋποθέσεις η συγκατάθεση του χρήστη.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 4/01/2022

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Προωθητικές κλήσεις

17 καταγγελίες για τη διενέργεια παράνομων τηλεφωνικών κλήσεων με σκοπό την προώθηση προϊόντων / υπηρεσιών εταιρείας προμήθειας φυσικού αερίου υποβλήθηκαν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Τις κλήσεις πραγματοποιούσε δεύτερη εταιρεία («call center») κατόπιν σχετικής ανάθεσης και για λογαριασμό της πρώτης. Όπως κατέδειξε η εξέταση της υπόθεσης, εν προκειμένω είχαν οχληθεί πρόσωπα τα οποία ήταν εγγεγραμμένα στο μητρώο του άρθρου 11 του Ν. 3471/2006. Υπενθυμίζεται ότι το εν λόγω μητρώο τηρείται από τις εταιρείες τηλεπικοινωνιών, η δε δωρεάν ένταξη τηλεφωνικής σύνδεσης σε αυτό, κατ’ επιλογήν του συνδρομητή, συνεπάγεται την απαγόρευση διενέργειας προωθητικών κλήσεων προς αυτόν. Η ως άνω παράβαση οδήγησε στην επιβολή προστίμου ύψους 30.000 ευρώ στην εταιρεία που διενήργησε τις κλήσεις και επίπληξης στην εταιρεία προμήθειας φυσικού αερίου.

Δ.Η.Ε. – Ερωτικές φωτογραφίες

Δικογραφία αυτόφωρης διαδικασίας σε βάρος ημεδαπού σχηματίστηκε από την Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος Βορείου Ελλάδος, στο πλαίσιο διενεργούμενης προκαταρκτικής εξέτασης για παράβαση της νομοθεσίας περί προστασίας προσωπικών δεδομένων. Η σύλληψη πραγματοποιήθηκε ύστερα από καταγγελία ημεδαπής, σύμφωνα με την οποία ο συλληφθείς ανήρτησε στο διαδίκτυο, εν αγνοία της και χωρίς την συναίνεσή της, βίντεο και φωτογραφίες με μεταξύ τους ερωτικό περιεχόμενο, το οποίο ήταν διαθέσιμο τουλάχιστον μέχρι και μία ημέρα προ της σύλληψης. Ο συλληφθείς με τη δικογραφία η οποία σχηματίστηκε σε βάρος του οδηγήθηκε στον αρμόδιο Εισαγγελέα, ο οποίος τον παρέπεμψε σε Ανακριτή. Υπογραμμίζεται ότι η αποκαλούμενη «μη συναινετική» ή «εκδικητική πορνογραφία» αποτελεί παράνομη επεξεργασία προσωπικών δεδομένων και υπό προϋποθέσεις διώκεται ποινικά.

Αυστραλία – Σοβαρά αδικήματα

Σε συμφωνία με τις ΗΠΑ κατέληξε η Αυστραλία («CLOUD Act Agreement») για τον διαμοιρασμό ηλεκτρονικών δεδομένων σε περίπτωση ερευνών ως προς σοβαρά αδικήματα, όπως τρομοκρατία, σεξουαλική παιδική κακοποίηση, κυβερνοεπιθέσεις κατά κρίσιμων υποδομών και επιθέσεις λυτρισμικού («ransomware»). Μέσω αυτής, οι αρμόδιες διωκτικές αρχές εκάστης συμβαλλόμενης χώρας δύνανται να αποκτούν πρόσβαση με μεγαλύτερη αποτελεσματικότητα σε συγκεκριμένα ηλεκτρονικά δεδομένα τα οποία τηρούνται από πάροχο υπηρεσιών τηλεπικοινωνιών της έτερης συμβαλλόμενης χώρας. Έτσι, επιτυγχάνεται σημαντική εξοικονόμηση χρόνου κατά τη διενέργεια των σχετικών ερευνών. Η συμφωνία περιέχει επίσης σημαντικές προστατευτικές δικλίδες για την προστασία της ιδιωτικότητας και των ατομικών δικαιωμάτων. Η σύναψή της ενισχύει τη στενή συνεργασία των δύο χωρών.

Η.Π.Α. – Δεδομένα ανηλίκων

2.000.000 δολάρια καλείται να καταβάλει εταιρεία στην Καλιφόρνια, η οποία είναι υπεύθυνη για τη λειτουργία διαδικτυακής πλατφόρμας διαχείρισης διαφημίσεων, εξαιτίας των παράνομων πρακτικών της. Όπως υποστήριξε η αρμόδια Ομοσπονδιακή Επιτροπή Εμπορίου («FTC»), η εταιρεία αφενός προέβη σε παράνομη συλλογή προσωπικών δεδομένων παιδιών μικρότερων των 13 ετών και αφετέρου συνέλεξε στοιχεία γεωεντοπισμού χρηστών, ενώ αυτοί ζήτησαν το ακριβώς αντίθετο. Κατ’ αυτόν τον τρόπο παραβιάστηκε πρωτίστως ο ομοσπονδιακός νόμος για την προστασία της ιδιωτικότητας των παιδιών στο διαδίκτυο («COPPA»), σύμφωνα με τον οποίον ιστοσελίδες, εφαρμογές και διαδικτυακές υπηρεσίες οι οποίες απευθύνονται σε παιδιά ή συλλέγουν προσωπικά δεδομένα παιδιών μικρότερων των 13 ετών υποχρεούνται να ενημερώνουν προηγουμένως τους γονείς τους και να λαμβάνουν τη συγκατάθεσή τους για την επεξεργασία των προσωπικών δεδομένων.

Νότια Κορέα – Απόφαση επάρκειας

Επαρκές επίπεδο προστασίας προσωπικών δεδομένων έκρινε η Ευρωπαϊκή Επιτροπή με πρόσφατη απόφασή της ότι διασφαλίζει η Νότια Κορέα. Κατ’ αυτό τον τρόπο, εφεξής, η διαβίβαση προσωπικών δεδομένων από τον Ευρωπαϊκό Οικονομικό Χώρο (27 κράτη μέλη Ε.Ε., Ισλανδία, Νορβηγία και Λιχτενστάιν) στη Νότια Κορέα είναι εφικτή χωρίς πρόσθετους περιορισμούς. Με την απόφαση επάρκειας διευκολύνεται σημαντικά ιδίως η δραστηριοποίηση ευρωπαϊκών επιχειρήσεων στη Νότια Κορέα, όταν αυτή προϋποθέτει διασυνοριακή επεξεργασία προσωπικών δεδομένων. Εν τη απουσία της απόφασης επάρκειας, η διαβίβαση προσωπικών δεδομένων λ.χ. αποστολή πελατολογίου από ευρωπαϊκή εταιρεία σε εταιρεία στη Νότια Κορέα, ώστε η τελευταία να αναλάβει τεχνικά την αποστολή ενημερωτικού δελτίου («newsletter») για λογαριασμό της πρώτης, θα απαιτούσε πολύπλοκες νομικές διατυπώσεις.

Φινλανδία – «WhatsApp»

Να σταματήσει τη χρήση της εφαρμογής ανταλλαγής μηνυμάτων «WhatsApp» για την πληροφόρηση εργαζομένων της σχετικά με τους πελάτες της, όπως το ονοματεπώνυμο, τη διεύθυνση και τον τηλεφωνικό αριθμό τους, κατά την παροχή των υπηρεσιών της, κάλεσε εταιρεία καθαρισμού η εθνική εποπτική αρχή. Όπως διαπιστώθηκε, η εταιρεία χρησιμοποιούσε την επίμαχη εφαρμογή χωρίς να έχει ενημερώσει τους πελάτες της ως προς αυτό. Επιπροσθέτως, με αυτήν την πρακτική καθίστατο ανέφικτος ο έλεγχος της περαιτέρω χρήσης των προσωπικών δεδομένων τα οποία διαμοιράζονταν, ενώ γεννάτο ο κίνδυνος απόκτησης πρόσβασης σε αυτά από τρίτο, σε περίπτωση απώλειας κινητού τηλεφώνου εργαζομένου.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 16/12/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Τηλεκπαίδευση

Προβλήματα εντοπίζονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στο σύστημα τηλεκπαίδευσης των σχολείων σύμφωνα με πρόσφατη απόφασή της. Η εποπτική αρχή προέβη αυτεπαγγέλτως στην εξέταση της συμμόρφωσης του Υπουργείου Παιδείας με τις συστάσεις σχετικής γνωμοδότησής της. Μεταξύ άλλων, αρρυθμίες εντοπίστηκαν στις παρεχόμενες στα υποκείμενα των δεδομένων πληροφορίες, οι οποίες κρίθηκαν  λιγότερες από όσες επιβάλλει ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός ως «GDPR». Όπως τονίστηκε, οι πληροφορίες αυτές δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, ιδίως εφόσον αυτές απευθύνονται και σε παιδιά. Περαιτέρω, τα εφαρμοζόμενα μέτρα ασφάλειας για την προστασία των προσωπικών δεδομένων πρέπει να συμπληρωθούν. Για τις εν λόγω παραβάσεις η ΑΠΔΠΧ προχώρησε σε επιπλήξεις προς το Υπουργείο, δίδοντας συγχρόνως εντολή να αντιμετωπιστούν αμέσως οι ελλείψεις.

Κύπρος – Πολυκατοικίες

Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου για την εγκατάσταση συστήματος καμερών σε πολυκατοικίες. Σε αυτήν υπογραμμίζεται ότι οι ρυθμίσεις του οικείου προστατευτικού πλαισίου δεν εφαρμόζονται στην περίπτωση λειτουργίας συστήματος βιντεοεπιτήρησης σε ιδιωτικούς χώρους, όπως οικίες και πολυκατοικίες, δεδομένου ότι η επεξεργασία των προσωπικών δεδομένων πραγματοποιείται από φυσικό πρόσωπο για προσωπικές ή οικιακές δραστηριότητες. Η εμβέλεια καταγραφής όμως του συστήματος δεν πρέπει να επηρεάζει τον ιδιωτικό βίο τρίτων. Στην ανακοίνωση υπενθυμίζεται ότι τα δεδομένα ήχου και εικόνας αποτελούν προσωπικά δεδομένα, η δε καταγραφή τους κατά κανόνα πρέπει να είναι σύμφωνη με τον «GDPR» και το εθνικό νομοθετικό πλαίσιο.

Αυστρία – Ασφάλιση

Κώδικα Δεοντολογίας για την επεξεργασία προσωπικών δεδομένων στον τομέα της ασφάλισης ενέκρινε η αρμόδια εποπτική αρχή. Όπως δήλωσε ο Πρόεδρος της εγχώριας ένωσης ασφαλιστών, οι ποικίλες νομικές ερμηνείες ρυθμίσεων του «GDPR» γέννησαν προβλήματα στην πράξη, με αποτέλεσμα την αύξηση της αβεβαιότητας και της γραφειοκρατίας. Ο νέος Κώδικας Δεοντολογίας καθιστά σαφή τον ρόλο των ασφαλιστών στην επεξεργασία προσωπικών δεδομένων, καθώς διευκρινίζεται ότι οι τελευταίοι δρουν ανεξάρτητα από τις ασφαλιστικές εταιρείες για λογαριασμό του εκάστοτε πελάτη τους. Προς παρακολούθηση της συμμόρφωσης με τους κανόνες που θέτει ο Κώδικα Δεοντολογίας αρμόδιος θα είναι ανεξάρτητος ειδικός φορέας.

Δανία – Δότης σπέρματος

Δότης σε τράπεζα κρυοσυντήρησης σπέρματος κατήγγειλε ενώπιον της εποπτικής αρχής την άρνηση της εμπλεκόμενης εταιρείας να τον ενημερώσει, κατόπιν αιτήματός του, για τον αριθμό των τέκνων που γεννήθηκαν χάρη σε αυτόν, αλλά και για το πόσα εξ αυτών των τέκνων έχουν μητέρες οι οποίες είναι ανύπαντρες. Κατά τα λεγόμενά του, αιτήθηκε τις σχετικές πληροφορίες κατόπιν προσέγγισής του από κοπέλα, η οποία υποστήριξε αφενός ότι ήταν κόρη του και αφετέρου ότι γνώριζε και για την ύπαρξη άλλων τέκνων των οποίων αυτός αποτελούσε τον βιολογικό πατέρα. Η εποπτική αρχή έκρινε ότι ο καταγγείλας έπρεπε να ενημερωθεί μόνο για τον αριθμό των τέκνων.

Δ.Ε.Ε. – Ηλεκτρονικό ταχυδρομείο

Μη ζητηθείσα επικοινωνία, πραγματοποιούμενη με σκοπό την εμπορική προώθηση, κρίθηκε από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) ότι αποτελεί η εμφάνιση διαφημιστικών μηνυμάτων στη θυρίδα εισερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου, υπό μορφή η οποία ομοιάζει με εκείνη ενός πραγματικού μηνύματος ηλεκτρονικού ταχυδρομείου («inbox advertising»). Κατ’ επέκταση, προκειμένου χρήστης του ηλεκτρονικού ταχυδρομείου να λαμβάνει νομίμως τα σχετικά διαφημιστικά μηνύματα, θα πρέπει να έχει προηγουμένως συγκατατεθεί. Σημαντική είναι και η διαπίστωση του ΔΕΕ ότι τα διαφημιστικά αυτά μηνύματα προκαλούν κίνδυνο σύγχυσης με πραγματικό μήνυμα ηλεκτρονικού ταχυδρομείου. Αυτό ενδέχεται να έχει ως αποτέλεσμα ο χρήστης που επιλέγει με κλικ τη γραμμή που αντιστοιχεί στο διαφημιστικό μήνυμα να ανακατευθυνθεί, παρά τη θέλησή του, σε ιστοσελίδα η οποία προβάλλει την επίμαχη διαφήμιση.

Ουνέσκο – Τεχνητή νοημοσύνη

193 κράτη μέλη της Ουνέσκο («UNESCO») υιοθέτησαν την πρώτη στα χρονικά συμφωνία διεθνούς εμβέλειας για τη δεοντολογία / ηθική της τεχνητής νοημοσύνης. Το εν λόγω κείμενο ιστορικής σημασίας καθορίζει τις κοινές αρχές και αξίες οι οποίες πρέπει να αποτελούν οδηγό για τη θέσπιση του αναγκαίου νομοθετικού πλαισίου διασφάλισης της υγιούς ανάπτυξης της τεχνητής νοημοσύνης. Η τελευταία είναι πλέον πανταχού παρούσα, καθώς εφαρμόζεται, μεταξύ άλλων, στις κρατήσεις πτήσεων, στα αυτόνομα οχήματα χωρίς οδηγό, στη διάγνωση του καρκίνου, στην εν γένει λήψη αυτοματοποιημένων αποφάσεων στο δημόσιο και στον ιδιωτικό τομέα,. Η χρήση της όμως δεν στερείται προκλήσεων. Λόγου χάρη, διαπιστώνεται πως συχνά τα συστήματα στα οποία τυγχάνει εφαρμογής μεροληπτούν κατά τη λειτουργία τους σε βάρος συγκεκριμένων κατηγοριών προσώπων, π.χ. γυναικών, δημιουργώντας συνάμα σοβαρούς κινδύνους για την προστασία των προσωπικών δεδομένων.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 2/12/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Νέα Μέλη

Ορκίστηκαν προ ολίγων ημερών ενώπιον του Υπουργού Δικαιοσύνης εννέα νέα μέλη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στη θέση παλαιών μελών των οποίων έληξε η θητεία ή παραιτήθηκαν. Πρόκειται ειδικότερα για τους κ.κ. Χ. Καλλονιάτη, Αναπληρωτή Καθηγητή του Πανεπιστημίου Αιγαίου, Γ. Κόντη, Διδάκτορα Πολιτικής Δικονομίας, Α. Ηλιάδου, Αναπληρώτρια Καθηγήτρια του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών, Ν. Φαλδαμή, Πρόεδρο του Ελληνικού Δικτύου Επαγγελματιών Πληροφορικής, Γ. Τσόλια, δικηγόρο, Μ. Ψάλλα, νομικό, Χ. Παπαθεοδώρου, Καθηγητή του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών, Δ. Βουγιούκα, Καθηγητή του Πανεπιστημίου Αιγαίου και Ν. Λίβο, Επίκουρο Καθηγητή του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. Η πλήρωση όλων των κενών θέσεων γεννά προσδοκίες για επικείμενη μεγέθυνση των εποπτικών και ελεγκτικών δραστηριοτήτων της εποπτικής αρχής.

Κύπρος – «Cookies»

Από τον Ιούνιο μέχρι σήμερα 30 έλεγχοι σε διάφορους διαδικτυακούς τόπους, οι οποίοι κάνουν χρήση «cookies», έχουν διενεργηθεί από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως αυτό ενημερώνει σε ανακοίνωσή του. Οι περισσότεροι έλεγχοί του αφορούσαν σε ιστοσελίδες ενημέρωσης του κοινού, όπως διαδικτυακές εφημερίδες και περιοδικά. Μεταξύ λοιπών διαπιστώσεων σημειώνεται ότι σε μεγάλο αριθμό ιστότοπων εμφανίζεται απλά ενημέρωση σχετικά με την ύπαρξη «cookies» και δεν λαμβάνεται η ρητή συγκατάθεση των επισκεπτών, όπως θα έπρεπε. Οι διαχειριστές των ιστοσελίδων στις οποίες διενεργήθηκε έλεγχος θα λάβουν επιστολή το αμέσως επόμενο διάστημα σχετικά με τα ευρήματα του ελέγχου. Θα τους δοθεί επίσης αποκλειστική προθεσμία προκειμένου να προβούν σε αντίστοιχες διορθωτικές ενέργειες.

Γαλλία – Απεργίες

Πρόστιμο ύψους 400.000 ευρώ επέβαλε η γαλλική εποπτική αρχή σε μεγάλο δημόσιο φορέα συγκοινωνιών. Ο σχετικός έλεγχος ξεκίνησε κατόπιν καταγγελίας σωματείων εργαζομένων ότι ο εν λόγω φορέας κατέγραφε και τηρούσε τον αριθμό των ημερών κατά τις οποίες εργαζόμενοι συμμετείχαν σε απεργιακές κινητοποιήσεις. Τα εν λόγω δεδομένα μάλιστα φυλάσσονταν σε αρχεία τα οποία λαμβάνονταν υπόψη κατά τις διαδικασίες προαγωγής. Η εποπτική αρχή διαπίστωσε το βάσιμο της εν λόγω καταγγελίας και υπογράμμισε το παράνομο της πρακτικής. Όπως τόνισε, επιτρεπτή θα ήταν η τήρηση περιορισμένων πληροφοριών για τον αριθμό των ημερών των σχετικών απουσιών. Στην πορεία του οικείου ελέγχου διαπιστώθηκαν και λοιπές παραβάσεις, όπως η τήρηση λοιπών προσωπικών δεδομένων για υπέρ του δέοντος χρονικό διάστημα.

Ε.Δ.Δ.Α. – Διαδικτυακή βία

Ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) προσέφυγε θύμα διαδικτυακής βίας («cyberviolence») κατά της Ρωσίας. Όπως υποστήριξε, οι ρωσικές αρχές δεν την προστάτευσαν από την κατ’ επανάληψη διαδικτυακή βία του συντρόφου της για τουλάχιστον τρία έτη. Αυτή περιλάμβανε τη δημοσιοποίηση προσωπικών φωτογραφιών της, τη δημιουργία ψεύτικων προφίλ με το όνομά της στα μέσα κοινωνικής δικτύωσης και των γεωεντοπισμό της μέσω της χρήσης ειδικής συσκευής. Όπως έκρινε το ΕΔΔΑ στην εν λόγω υπόθεση, οι ρωσικές αρχές δεν είχαν διενεργήσει επαρκή έρευνα για τα συμβάντα και γενικότερα δεν προέβησαν στα δέοντα για να προστατευθεί η προσφεύγουσα. Διαπιστώθηκε, λοιπόν, η παραβίαση του δικαιώματος σεβασμού της ιδιωτικής ζωής της, όπως αυτό κατοχυρώνεται στο άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου.

Ολλανδία – Επιβάτες

Τα προσωπικά δεδομένα 25 εκ. επιβατών εκτέθηκαν σε κίνδυνο διαρροής, όταν κακόβουλοι εισέβαλαν στα πληροφοριακά συστήματα ολλανδικής αεροπορικής εταιρείας. Συνολικά εξήχθησαν από το σύστημα τα προσωπικά δεδομένα 83.000 ατόμων.  παρ Η παράνομη πρόσβαση κατέστη εφικτή με τη χρήση εταιρικών λογαριασμών, των οποίων οι κωδικοί πρόσβασης ήταν απλοί με αποτέλεσμα να είναι εφικτή η εύρεσή τους. Περαιτέρω, για την είσοδο στους εταιρικούς λογαριασμούς δεν είχε ενεργοποιηθεί η αυθεντικοποίηση δύο παραγόντων («2-factor authentication»). Σημειώνεται ότι κατά την ειδική αυτή διαδικασία πιστοποίησης, για την είσοδο σε ένα ηλεκτρονικό σύστημα ζητείται από τον χρήστη όχι μόνο ο προσωπικός κωδικός του, αλλά και ένα ακόμη στοιχείο το οποίο γνωρίζει (π.χ. μυστική ερώτηση) ή κατέχει (π.χ. κωδικός σταλθέν στο κινητό τηλέφωνό του) ή είναι μέρος του (π.χ. δακτυλικό αποτύπωμα). Εξαιτίας αυτών επιβλήθηκε στην αεροπορική εταιρεία πρόστιμο ύψους 400.000 ευρώ.

Πολωνία – Περιστατικό παραβίασης

Πρόστιμο ύψους 80.000 ευρώ επιβλήθηκε σε τράπεζα από την εποπτική αρχή κατόπιν της υποβολής σχετικής καταγγελίας. Κατά τα καταγγελθέντα, εταιρεία παροχής ταχυδρομικών υπηρεσιών που ενεργούσε για λογαριασμό της τράπεζας απώλεσε τραπεζική αλληλογραφία. Η τελευταία περιείχε προσωπικά δεδομένα πελατών, όπως ονοματεπώνυμο, διεύθυνση και αριθμό τραπεζικού λογαριασμού. Η τράπεζα ενημέρωσε τους εμπλεκόμενους πελάτες για την απώλεια, δίχως όμως να παράσχει όλες τις αναγκαίες πληροφορίες κατά τα προβλεπόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 18/11/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ευχετήριο μήνυμα

Ως αβάσιμη έκρινε η Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) καταγγελία κατά πολιτικού για την αποστολή σύντομου γραπτού μηνύματος («SMS») με πασχαλιάτικες ευχές, χωρίς να έχει ληφθεί προηγουμένως η συγκατάθεση του αποδέκτη. Ο πολιτικός αναγνώρισε ότι η υπόθεση αφορούσε μεγάλο αριθμό ευχετήριων μηνυμάτων που εστάλησαν μέσω εταιρείας. Κατά τον ίδιο όμως περιείχαν μόνο εορταστικές ευχές, με απώτερο στόχο την εμψύχωση των φίλων και προσωπικών επαφών του εν μέσω πανδημίας. Όπως υποστήριξε, αυτά δεν περιείχαν πολιτικό μήνυμα, ούτε αποσκοπούσαν σε προώθηση πολιτικής δράσης. Η εποπτική αρχή δέχθηκε τους ισχυρισμούς του και απέρριψε την οικεία καταγγελία. Υπενθυμίζεται ότι σε παραπλήσια υπόθεση το 2019 η εποπτική αρχή της Κύπρου είχε κρίνει το αντίθετο, επιβάλλοντας πρόστιμο ύψους 2.000 ευρώ.

Κύπρος – «Κατασκοπευτικό βαν»

Πρόστιμο ύψους 925.000 ευρώ εισπράχθηκε από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) για την υπόθεση του αποκαλούμενου «κατασκοπευτικού βαν», που απασχόλησε κατά το παρελθόν την κοινή γνώμη της χώρας. Σύμφωνα με τα τότε δημοσιεύματα, το επίμαχο όχημα φερόταν να κυκλοφορεί με ειδικό εξοπλισμό, ώστε να δύναται να πραγματοποιεί παρακολουθήσεις προσώπων. Κατά το Γραφείο Επιτρόπου, εν τέλει δεν διαπιστώθηκε οποιαδήποτε παρακολούθηση συσκευής ή υποκλοπή ιδιωτικής επικοινωνίας. Οι δραστηριότητες της εμπλεκόμενης εταιρείας είχαν όμως ως αποτέλεσμα τη συλλογή δεδομένων «Mac Address» («Media Access Control Address») και «IMSI» («International Mobile Subscriber Identity») διαφόρων συσκευών, χωρίς να το γνωρίζουν οι χρήστες τους, κατά παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, εξ ου και το επιβληθέν πρόστιμο. Όπως σημειώνεται στη σχετική ανακοίνωση, τα «Mac Addresses» είναι μοναδικοί αριθμοί που αναγνωρίζουν μία συσκευή όταν συνδέεται στο διαδίκτυο, το δε «IMSI» είναι μοναδικός αριθμός, που περιέχεται σε κάρτες «SIM» («Subscriber Identity Module») και αναγνωρίζει ένα συνδρομητή όταν συνδέεται με το δίκτυο του παρόχου του. Τα δεδομένα αυτά, σε συνδυασμό με την γεωγραφική θέση μίας συσκευής, σε διαφορετικούς χρόνους, μπορεί να οδηγήσουν στην ταυτοποίηση του χρήστη της συσκευής.

Αυστραλία – Μαζική παρακολούθηση

Και η Αυστραλία προστίθεται στα κράτη που κρίνουν πως η δραστηριότητα της τεχνολογικής εταιρεία Clearview AI είναι παράνομη υπό το πρίσμα της προστασίας των προσωπικών δεδομένων. Η εν λόγω τεχνολογική εταιρεία καθιστά εφικτή ιδίως σε αστυνομικές αρχές την ταυτοποίηση φωτογραφιών αγνώστων προσώπων, μέσω της σύγκρισής τους με τη βάση δεδομένων την οποία αυτή διαθέτει. Η εν λόγω βάση δεδομένων περιλαμβάνει περισσότερες από τρία δισεκατομμύρια φωτογραφίες, οι οποίες έχουν συλλεγεί από το διαδίκτυο, κυρίως από μέσα κοινωνικής δικτύωσης, χωρίς όμως τη γνώση και τη συγκατάθεση των εμπλεκομένων. Η δραστηριότητα αυτή έχει κριθεί πως αποτελεί μαζική παρακολούθηση.

Βραζιλία – Πρώτο έτος λειτουργίας

Ένα έτος λειτουργίας έκλεισε η εθνική εποπτική αρχή προ ολίγων ημερών και αποφάσισε να το γιορτάσει με ένα σύντομο, αλλά εντυπωσιακό απολογισμό των μέχρι σήμερα πεπραγμένων της. Μεταξύ άλλων, κατά την εν λόγω περίοδο η Αρχή Προστασίας Δεδομένων κλήθηκε να χειριστεί περισσότερα από 3.100 αιτήματα σχετιζόμενα με την εφαρμογή των προστατευτικών ρυθμίσεων στη χώρα. Στο πλαίσιο των δράσεων της εκδόθηκε επίσης σειρά εγκυκλίων και οδηγιών, υπογράφηκαν συμφωνίες τεχνικής συνεργασίας, εκπονήθηκε εκπαιδευτικό υλικό, δημοσιεύθηκαν σχετικά άρθρα και πραγματοποιήθηκαν δημόσιες διαβουλεύσεις. Τα δε μέλη της εποπτικής αρχής συμμετείχαν σε εκατοντάδες εκδηλώσεις για την πληροφόρηση  των ενδιαφερομένων.

Ιταλία – «Στα μανταλάκια»

10.000 ευρώ καλείται να καταβάλει ιατρός στην Ιταλία εξαιτίας της «φαεινής» ιδέας του να πρωτοτυπήσει στον τρόπο παράδοσης ιατρικών συνταγών, κρεμώντας τες έξω από το παράθυρο του γραφείου του με …μανταλάκια! Όπως διαπίστωσε η εποπτική αρχή, οι ιατρικές συνταγές κρέμονταν έξω από παράθυρο ισογείου, σε δημόσια οδό, με αποτέλεσμα τα ονόματα των ασθενών και το περιεχόμενο των συνταγών να είναι ορατά στον οποιονδήποτε. Κατά την επιβολή του προστίμου η Αρχή Προστασίας Δεδομένων επεσήμανε ότι η επεξεργασία των προσωπικών δεδομένων επιβάλλει την παράλληλη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία τους.

Νορβηγία – Λυτρισμικό

Ακριβά θα πληρώσει τις παραλείψεις του για λήψη των δεόντων μέτρων ασφαλείας δήμος στη Νορβηγία ο οποίος αποτέλεσε θύμα κυβερνοεπίθεσης μέσω λυτρισμικού («ransomware»). Όπως αποφάσισε η εθνική εποπτική αρχή, ο δήμος καλείται να καταβάλει πρόστιμο ύψους περίπου 400.000 ευρώ. Κατά τη διάρκεια της επίθεσης, σημειώθηκε απώλεια του ελέγχου των οικείων πληροφοριακών συστημάτων, καθώς και των προσωπικών δεδομένων τόσο εργαζομένων όσο και δημοτών. Μεγάλος όγκος αυτών των προσωπικών δεδομένων διέρρευσε στη συνέχεια στο καλούμενο σκοτεινό διαδίκτυο («dark web»).

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 2/11/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Βιντεοεπιτήρηση

Επίπληξη και εντολή προσαρμογής στα νόμιμα απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε μονάδα φροντίδας ηλικιωμένων για την παράνομη λειτουργία συστήματος βιντεοεπιτήρησης. Κατόπιν καταγγελίας εργαζομένου και επακόλουθου ελέγχου διαπιστώθηκε ότι η εγκατάσταση του συστήματος, το οποίο αποτελείτο από 32 κάμερες, έλαβε χώρα δίχως να προηγηθεί η προβλεπόμενη απόφαση επιτροπής αρμόδιου ιατρικού και νοσηλευτικού προσωπικού. Περαιτέρω, δεν πραγματοποιήθηκε προ της λειτουργίας του συστήματος η απαιτούμενη ειδική ενημέρωση των εργαζομένων περί αυτής σε γραπτή ή ηλεκτρονική μορφή. Τέλος, συγκεκριμένες κάμερες του συστήματος παρανόμως λάμβαναν εικόνα από θέσεις εργαζομένων. Η επιβολή προστίμου δεν κρίθηκε επιβεβλημένη δεδομένου ότι ελήφθη υπόψη, μεταξύ άλλων, ο φιλανθρωπικός, εκπολιτιστικός και μη κερδοσκοπικός χαρακτήρας της μονάδας φροντίδας.

Κύπρος – Απογραφή πληθυσμού

Για τη διαδικασία απογραφής πληθυσμού ενημερώνει με ανακοίνωσή του το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Γραφείο Επιτρόπου). Όπως σημειώνεται, κατά τα προβλεπόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό και ως «GDPR», η επεξεργασία δεδομένων για στατιστικούς σκοπούς επιτρέπεται, τηρουμένου του πλαισίου νομιμότητας και αναλογικότητας. Η διαδικασία απογραφής πληθυσμού προβλέπεται από το ενωσιακό δίκαιο, διενεργείται δε ταυτόχρονα σε όλα τα κράτη μέλη κατά τα προβλεπόμενα στο εκάστοτε εθνικό δίκαιο. Επισημαίνεται επίσης ότι το Γραφείο Επιτρόπου βρίσκεται σε διαβούλευση με τη στατιστική υπηρεσία και άλλες αρχές για την ενδεχόμενη μελλοντική δημιουργία ενός δυναμικού μητρώου πληθυσμού. Κατ’ αυτόν τον τρόπο, θα πάψουν οι απογραφές να επιβαρύνουν το κοινό, λόγω των τηλεφωνικών ή κατ’ οίκον συνεντεύξεων που συνεπάγονται.

Ε.Δ.Δ.Α. – Μετά θάνατον προστασία

Μετά θάνατον προστασία των προσωπικών δεδομένων παρέσχε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) με απόφασή του. Η υπόθεση αφορούσε άρθρα εφημερίδων τα οποία δημοσιεύθηκαν για ιερέα στη Σλοβακία, καταδικασθέντα σε υποθέσεις σεξουαλικού περιεχομένου και με ανηλίκους, αφότου αυτός απεβίωσε. Το δημοσιογραφικό υλικό περιλάμβανε στοιχεία των ποινικών υποθέσεων του ιερέα, αλλά και σειρά μη επιβεβαιωμένων και αβάσιμων αναφορών γι’ αυτόν. Η μητέρα του θανόντος προσέφυγε κατά των δημοσιευμάτων ενώπιον των εθνικών δικαστηρίων, τα οποία δεν έκαναν όμως ιδίως δεκτό το αίτημά της προς καταβολή αποζημίωσης. Για τον λόγο αυτό προσέφυγε στη συνέχεια ενώπιον του Ε.Δ.Δ.Α. Το τελευταίο έκρινε ότι πράγματι εν προκειμένω συνέτρεξε προσβολή του δικαιώματός της στην προστασία της ιδιωτικής και οικογενειακής ζωής της.

Ηνωμένο Βασίλειο – Δημοσιογραφία

Σχέδιο Κώδικα Ορθής Πρακτικής στο πεδίο της δημοσιογραφίας έθεσε σε δημόσια διαβούλευση η εθνική εποπτική αρχή. Φιλοδοξία του αποτελεί η παροχή πρακτικών συμβουλών σε οργανισμούς και άτομα που επεξεργάζονται προσωπικά δεδομένα για δημοσιογραφικούς σκοπούς. Απώτερος στόχος του είναι η εύρεση της κατάλληλης ισορροπίας μεταξύ δημοσιογραφίας, ελευθερίας της έκφρασης και προστασίας προσωπικών δεδομένων, δίχως όμως τη γένεση εμποδίων στη δημοσιογραφική δραστηριότητα. Πρόκειται για εκτενές κείμενο περίπου 100 σελίδων που πραγματεύεται όλα τα συναφή ζητήματα και είναι διαθέσιμο στην ιστοσελίδα της εποπτικής αρχής. Η δημόσια διαβούλευση θα διαρκέσει μέχρι τις 10 Ιανουαρίου 2022.

Η.Π.Α. – Υπηρεσίες διαδικτύου

Υπέρμετρη και αδιαφανή επεξεργασία προσωπικών δεδομένων από τους παρόχους υπηρεσιών διαδικτύου διαπιστώνει η Ομοσπονδιακή Επιτροπή Εμπορίου («FTC»). Υπενθυμίζεται ότι οι πάροχοι υπηρεσιών διαδικτύου αποτελούν τις εταιρείες που παρέχουν ιδίως τη δυνατότητα πρόσβασής μας στο διαδίκτυο έναντι καταβολής αντιτίμου. Όπως διαπιστώνει σε σχετική έκθεσή της η «FTC», ουκ ολίγοι πάροχοι συλλέγουν και κοινοποιούν πολύ μεγάλο όγκο προσωπικών δεδομένων των χρηστών του διαδικτύου και πελατών τους, π.χ. όλη τη διαδικτυακή δραστηριότητά τους και στοιχεία γεωεντοπισμού τους. Μεταξύ των προβληματικών πρακτικών τους διαπιστώνονται ο συνδυασμός προσωπικών πληροφοριών, δεδομένων χρήσης εφαρμογών και δεδομένων διαδικτυακής δραστηριότητας με σκοπό τη στοχευμένη διαφήμιση, αλλά και η ομαδοποίηση χρηστών με κριτήρια όπως η φυλετική καταγωγή τους ή ο σεξουαλικός προσανατολισμός τους.

EUROPOL – Επενδυτικές απάτες

Σε εξάρθρωση σπείρας η οποία προέβαινε συστηματικά σε επενδυτικές απάτες στο διαδίκτυο προέβη η EUROPOL κατόπιν ενεργειών σε Βουλγαρία, Κύπρο και Ουκρανία. Οι δράστες είχαν δημιουργήσει διαδικτυακή, δήθεν επενδυτική πλατφόρμα με σκοπό να παρασύρουν ανυποψίαστους Γερμανούς πολίτες στη διενέργεια συναλλαγών. Προωθούσαν τις υποτιθέμενες επενδυτικές υπηρεσίες τους στο διαδίκτυο, ιδίως στα μέσα κοινωνικής δικτύωσης. Εκτός διαδικτύου, δύο τηλεφωνικά κέντρα πραγματοποιούσαν την ίδια ώρα και για λογαριασμό τους διαφημιστικές τηλεφωνικές κλήσεις. Κατά τη διενέργειά τους, χρησιμοποιούνταν προκαθορισμένα κείμενα για την πραγματοποίηση των συνομιλιών, με σκοπό να πειστούν τα υποψήφια θύματα να προβούν σε «επενδύσεις». Οι ατυχείς που προέβαιναν σε αυτές σύντομα διαπίστωναν ότι δεν μπορούσαν ούτε να εισπράξουν τα υποτιθέμενα κέρδη τους ούτε να λάβουν πίσω το επενδυθέν κεφάλαιο.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/10/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ηλεκτρονικές διευθύνσεις

Επίπληξη απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε μέλος της Βουλής των Ελλήνων για μαζική αποστολή δελτίου τύπου. Η παράβαση συνίστατο στο ότι οι ηλεκτρονικές διευθύνσεις μεγάλου αριθμού παραληπτών είχαν τοποθετηθεί στο πεδίο «Προς». Αυτό είχε ως αποτέλεσμα ο εκάστοτε παραλήπτης του επίμαχου δελτίου τύπου να λαμβάνει γνώση των ηλεκτρονικών διευθύνσεων των λοιπών παραληπτών. Όπως έκρινε η ΑΠΔΠΧ, ο αποστολέας έπρεπε να είχε λάβει μέτρα, ώστε να εξασφαλισθεί ότι οι ηλεκτρονικές διευθύνσεις των παραληπτών δεν θα κοινοποιούνταν σε μεγάλο αριθμό προσώπων. Αυτό θα μπορούσε να είχε επιτευχθεί με την επιλογή της «κρυφής κοινοποίησης» ή τη μεμονωμένη αποστολή μηνυμάτων. Υπενθυμίζεται ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου φυσικού προσώπου αποτελεί προσωπικό δεδομένο.

Κύπρος – Εργασιακή απόδοση

Επίπληξη απηύθυνε και το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) σε εταιρεία για ελλιπή μέτρα ασφαλείας. Κατά την καταγγελία, η εταιρεία είχε αποθηκεύσει επιστολή με πληροφορίες για την εργασιακή απόδοση εργαζομένου σε μορφή ηλεκτρονικού αρχείου το οποίο βρισκόταν σε κοινόχρηστο πληροφοριακό σύστημα. Έτσι, λοιποί εργαζόμενοι είχαν πρόσβαση στην επιστολή, χωρίς αυτό να δικαιολογείται από τα καθήκοντά τους. Όπως έγινε δεκτό και από την εταιρεία, η εν λόγω επιστολή κακώς είχε αποθηκευθεί κατά τον καταγγελθέντα τρόπο, αφού εργαζόμενοι δίχως συναφείς αρμοδιότητες μπορούσαν να την αναγνώσουν. Η ενέργεια αυτή αποτελούσε κατά το Γραφείο Επιτρόπου παραβίαση, δοθέντος ότι δεν είχαν ληφθεί τα δέοντα μέτρα ασφαλείας, οργάνωσης και πρόσβασης, όπως ο περιορισμός της πρόσβασης μόνο στα αναγκαία άτομα.

Γαλλία – Δακτυλικά αποτυπώματα

Κακή διαχείριση ψηφιακής βάσης δεδομένων με περισσότερα από 6.000.000 δακτυλικά αποτυπώματα κυρίως υπόπτων ή καταδικασθέντων διαπίστωσε η εθνική εποπτική αρχή σε βάρος του Υπουργείου Εσωτερικών. Η εν λόγω βάση δεδομένων περιέχει δακτυλικά αποτυπώματα προσώπων που εμπλέκονται σε ποινικές υποθέσεις, καθώς και δακτυλικά αποτυπώματα που συλλέγονται σε χώρους τέλεσης εγκλημάτων. Η διαχείρισή της πραγματοποιείται από τη γαλλική αστυνομία για τις ανάγκες αστυνομικών ερευνών. Σκοπός της λειτουργίας της είναι η σύνδεση των αποτυπωμάτων με συγκεκριμένα πρόσωπα. Μεταξύ των παραβάσεων που διαπιστώθηκαν περιλαμβανόταν η παράνομη επεξεργασία συγκεκριμένων κατηγοριών προσωπικών δεδομένων, όπως ονόματα θυμάτων και αριθμοί κυκλοφορίας οχημάτων, δεδομένου ότι αυτή δεν προβλεπόταν. Επίσης, η μη διαγραφή των εκάστοτε στοιχείων της βάσης δεδομένων κατόπιν της παρόδου της προβλεπόμενης περιόδου τήρησης.

Ευρωβουλή – Μαζική παρακολούθηση

Κατά της χρήσης συγκεκριμένων συστημάτων τεχνητής νοημοσύνης στο πλαίσιο της αστυνόμευσης τίθεται το Ευρωπαϊκό Κοινοβούλιο με πρόσφατη έκθεσή του. Οι ευρωβουλευτές ζητούν ιδίως να απαγορευθεί καθολικά στο πλαίσιο αξιοποίησης αυτών των συστημάτων η αναγνώριση προσώπων σε δημόσιους χώρους, η χρήση ιδιωτικών βάσεων δεδομένων αναγνώρισης προσώπου, η προληπτική αστυνόμευση, ήτοι η αστυνόμευση που επιδιώκει την «πρόβλεψη» του εγκλήματος με βάση δεδομένα συμπεριφοράς προσώπων, και η κανονιστική βαθμολόγηση ατόμων. Υπογραμμίζουν επίσης ότι οι πολίτες θα πρέπει να παρακολουθούνται μόνο όταν είναι ύποπτοι για κάποιο έγκλημα.

Ιταλία – Μικρόφωνα

Τον κώδωνα του κινδύνου κρούει η εθνική εποπτική αρχή για εφαρμογές σε έξυπνα κινητά τηλέφωνα («smartphones»), οι οποίες φαίνεται ότι θέτουν σε διαρκή λειτουργία τα μικρόφωνά τους. Η κινητοποίησή της αποτελεί συνέχεια σειράς καταγγελιών. Σύμφωνα με αυτές, κατόπιν προφορικής αναφοράς των χρηστών σε επιθυμίες τους και ταξίδια, πλησίον του κινητού τηλεφώνου τους, διαπίστωσαν έκπληκτοι την ακόλουθη εμφάνιση σε αυτό συναφούς διαφήμισης αυτοκινήτου ή τουριστικού γραφείου. Έτσι, η εποπτική αρχή αποφάσισε τη διεξαγωγή ειδικής έρευνας. Κατά τη διάρκεια αυτής, θα εξεταστούν πλήθος εφαρμογών, ώστε να διαπιστωθεί αν η ενημέρωση που παρέχεται στους χρήστες τους είναι ξεκάθαρη και διαφανής, καθώς και αν αυτοί έχουν έγκυρα συγκατατεθεί για τα ως άνω.

INTERPOL – Μη επανδρωμένα αεροσκάφη

Μεγάλη τριήμερη άσκηση υπό πραγματικές συνθήκες για την εφαρμογή ειδικών μέσων αντιμετώπισης μη επανδρωμένων αεροσκαφών («drones») διεξήγαγε η INTERPOL με την αστυνομία της Νορβηγίας. Στην άσκηση συμμετείχαν εκπρόσωποι αρχών επιβολής του νόμου και της ακαδημαϊκής κοινότητας, καθώς και ειδικοί από την Ευρώπη, το Ισραήλ και τις Ηνωμένες Πολιτείες. Σκοπός της ήταν να δοκιμαστούν και να αξιολογηθούν 17 αντίμετρα στη χρήση «drones», εν προκειμένω για την προστασία της ασφάλειας περιβάλλοντος αεροδρομίου. Τα πορίσματα της άσκησης θα αξιοποιηθούν, ώστε να εκπονηθεί ένα ειδικό πλαίσιο αντιμετώπισης τους. Όπως επισημαίνει η INTERPOL, πολλά κράτη δεν διαθέτουν ακόμη νομοθεσία που επιτρέπουν στις αρχές να παρέμβουν όταν διαπιστώνουν σχετικό συμβάν. Σημειώνεται ότι μη επανδρωμένο αεροσκάφος μπορεί να προβαίνει και σε παράνομη συλλογή προσωπικών δεδομένων με χρήση κάμερας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 30/09/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Δικαίωμα πρόσβασης Ι

Δύο πρόστιμα ύψους 20.000 ευρώ έκαστο επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε μεγάλη εταιρεία πώλησης προϊόντων τεχνολογίας και ηλεκτρονικών ειδών, καθώς και σε συστημική τράπεζα, για μη ικανοποίηση του δικαιώματος πρόσβασης. Υπενθυμίζεται ότι σύμφωνα με το εν λόγω δικαίωμα, πολίτης δικαιούται να λάβει πληροφόρηση για το κατά πόσον τα προσωπικά δεδομένα του αποτελούν αντικείμενο επεξεργασίας, καθώς και πρόσβαση σε αυτά. Εν προκειμένω, ο καταναλωτής, κατόπιν επιστροφής προϊόντος, ζήτησε από την προαναφερθείσα εταιρεία να του κοινοποιηθεί το επακόλουθο αίτημά της προς την εμπλεκόμενη τράπεζα για αποχρέωση των δόσεων της πιστωτικής κάρτας του. Η εταιρεία δεν αποκρίθηκε ικανοποιητικά, η δε τράπεζα στην οποία ο καταγγέλλων απευθύνθηκε στη συνέχεια ουδέποτε του απήντησε.

Κύπρος – Δικαίωμα πρόσβασης ΙΙ

Σχετική με το δικαίωμα πρόσβασης υπόθεση απασχόλησε και το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Η καταγγέλλουσα αιτήθηκε αντίγραφο του ιατρικού φακέλου της από τον ιατρό της. Ο τελευταίος παραχώρησε το σχετικό αντίγραφο, εκτός από ένα «DVD» το οποίο περιείχε την καταγραφή επέμβασης που είχε διενεργήσει στην ασθενή. Κατά τον ιατρό, αυτός δεν ήταν υποχρεωμένος να χορηγήσει το «DVD», χάρη στα δικαιώματά του διανοητικής ιδιοκτησίας στη χειρουργική τεχνική την οποία είχε εφαρμόσει. Η εθνική εποπτική αρχή δεν πείστηκε από τους ισχυρισμούς του και έκρινε πως η ασθενής δικαιούται να λάβει αντίγραφο των πληροφοριών του ιατρικού φακέλου της, χωρίς εξαιρέσεις. Για τον λόγο αυτό, δόθηκε εντολή στον ιατρό να ικανοποιήσει πλήρως το αίτημα της καταγγέλλουσας, όπως και αυτός στη συνέχεια έπραξε.

Ιρλανδία – «Έξυπνα γυαλιά»

Τα ζητήματα ιδιωτικότητας που εγείρουν τα νέα «έξυπνα γυαλιά» («smart glasses») της «Facebook» σε συνεργασία με μεγάλη εταιρεία οπτικών ειδών απασχολούν την εθνική εποπτική αρχή. Τα «έξυπνα γυαλιά» αποτελούν ένα νέο μοντέλο γυαλιών ηλίου, το οποίο επιτρέπει στο πρόσωπο που τα χρησιμοποιεί να προβαίνει μέσω αυτών στη λήψη φωτογραφιών και στη βιντεοσκόπηση του περιβάλλοντός του. Τα γυαλιά διαθέτουν ενσωματωμένες κάμερες, ηχεία και μικρόφωνα, οι δε σχετικές εντολές φωτογράφησης / βιντεοσκόπησης δύνανται να δοθούν ηχητικά. Το επίμαχο υλικό μπορεί στη συνέχεια να αναρτηθεί στα μέσα κοινωνικής δικτύωσης. Η εθνική εποπτική αρχή επισημαίνει ότι τόσο αυτή όσο και η εποπτική αρχή της Ιταλίας ανησυχούν για το πως θα λαμβάνουν ενημέρωση ότι φωτογραφίζονται / καταγράφονται όσοι βρεθούν στο πεδίο λήψης των «έξυπνων γυαλιών». Τα τελευταία διαθέτουν μια μικρή φωτεινή ένδειξη, εν τούτοις οι εποπτικές αρχές διατηρούν αμφιβολίες ως προς την αποτελεσματικότητά της.

Καναδάς – Παιχνίδια

Έναν έξυπνο τρόπο σκαρφίστηκε η εποπτική αρχή του Οντάριο στην προσπάθειά της να ευαισθητοποιήσει τα παιδιά για την προστασία των προσωπικών δεδομένων τους. Εκπόνησε και εξέδωσε τον ηλεκτρονικό οδηγό «Αναζήτηση Ιδιωτικότητας!» («Privacy Pursuit!»), ο οποίος διατίθεται δωρεάν στην ιστοσελίδα της, με σκοπό να λάβουν σχετικά μαθήματα  τα παιδιά με διασκεδαστικό τρόπο. Ο οδηγός περιέχει σειρά δραστηριοτήτων, όπως ερωτήσεις, σταυρόλεξα, αναζητήσεις και αντιστοιχίσεις λέξεων. Μέσω αυτών τα παιδιά λαμβάνουν βασικές συμβουλές για το πώς θα προστατευθούν από απάτες, θα προστατέψουν την ιδιωτικότητά τους και θα παραμείνουν ασφαλή στο διαδίκτυο.

Νορβηγία – «Facebook»

Ένα μεγάλο «όχι» στη δημιουργία σελίδας («page») στο «Facebook» για τον σκοπό της αποτελεσματικότερης επικοινωνίας της με τους πολίτες είπε η εθνική εποπτική αρχή. Εφαρμόζοντας τις διαδικασίες αξιολόγησης που προβλέπονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως «GDPR», έκρινε ότι οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των χρηστών της σελίδας στο «Facebook» σε σχέση με τα προσωπικά δεδομένα τους θα ήταν πολύ μεγάλοι, αν τελικά αποφασιζόταν η υλοποίησή της.

Ο.Η.Ε. – Τεχνητή νοημοσύνη

Την αναγκαιότητα επιβολής ενός μορατόριουμ στην πώληση και χρήση συστημάτων τεχνητής νοημοσύνης τα οποία εγείρουν σοβαρούς κινδύνους για τα ανθρώπινα δικαιώματα, μέχρις ότου υιοθετηθούν κατάλληλες προστατευτικές εγγυήσεις, τόνισε η Ύπατη Αρμοστής του Οργανισμού Ηνωμένων Εθνών (ΟΗΕ) για τα Δικαιώματα του Ανθρώπου Μισέλ Μπατσελέτ σε πρόσφατη ανακοίνωσή της. Απηύθυνε επίσης κάλεσμα για την απαγόρευση όλων των εφαρμογών τεχνητής νοημοσύνης οι οποίες δεν μπορούν να χρησιμοποιηθούν σύμφωνα με το δίκαιο ανθρωπίνων δικαιωμάτων. Υπενθυμίζεται ότι τεχνητή νοημοσύνη ονομάζεται η ικανότητα μιας μηχανής να δρα όπως ο ανθρώπινος νους, κατανοώντας, αναλύοντας και μαθαίνοντας από δεδομένα, ώστε να είναι δυνατή π.χ. η αυτόνομη λήψη αποφάσεων. Χρήση εφαρμογών τεχνητής νοημοσύνης εντοπίζεται ενδεικτικά στις διαδικασίες πρόσληψης προσωπικού μέσω του «φιλτραρίσματος» όγκου βιογραφικών και στη χορήγηση δανείων μέσω της αξιολόγησης πιστοληπτικής ικανότητας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 16/09/2021

Δ.Δ.Η.Ε. – Παραπλανητικά μηνύματα

Υπόθεση διασποράς ψευδών ειδήσεων μέσω παραπλανητικών σύντομων μηνυμάτων κειμένου («SMS») εξιχνιάστηκε από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Η δικογραφία που σχηματίστηκε αφορά 10 ημεδαπούς. Η ΔΔΗΕ ενήργησε κατόπιν παραγγελίας της Εισαγγελίας Πρωτοδικών Αθηνών αναφορικά με μηνύματα τα οποία έλαβε μεγάλος αριθμός πολιτών το καλοκαίρι του 2020. Σε αυτά εμφανίζονταν ψευδώς ως στοιχεία αποστολέα υπηρεσίες του Υπουργείου Εθνικής Άμυνας και της Ελληνικής Αστυνομίας, όπως «YP.AMYNAS», «YP.ETH.AM», «YPOURGEIO», «astynomia» και «G.E.S.». Οι αποδέκτες των μηνυμάτων καλούνταν να παρουσιασθούν στο αστυνομικό τμήμα της περιοχής τους, προκειμένου να παραλάβουν φύλλο πορείας, δήθεν λόγω επιστράτευσης. Τα στοιχεία των δραστών ταυτοποιήθηκαν χάρη ιδίως σε διαδικτυακή – ψηφιακή έρευνα των διαθέσιμων στοιχείων και δεδομένων.

Κύπρος – Έκδοση εισιτηρίων

Πρόστιμα ύψους 40.000 ευρώ έκαστο επιβλήθηκαν τελικά στα ποδοσφαιρικά σωματεία ΑΠΟΕΛ και Ομόνοια από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου). Αιτία ήταν το κενό ασφαλείας στις ιστοσελίδες των ομάδων, το οποίο είχε ως αποτέλεσμα μη εξουσιοδοτημένος επισκέπτης να μπορεί να ανακτά από αυτές προσωπικά δεδομένα φιλάθλων με αγορασμένα εισιτήρια παρακολούθησης αγώνων. Όπως κρίθηκε από το Γραφείο Επιτρόπου, έλαβαν χώρα παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως «GDPR», εξαιτίας της παράλειψης εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας. Πρόστιμο ύψους 25.000 ευρώ επιβλήθηκε επίσης στην ανάδοχη εταιρεία η οποία σχεδίασε και ανέπτυξε τα οικεία συστήματα διαδικτυακής πώλησης εισιτηρίων για λογαριασμό των ομάδων.

Η.Π.Α. – Παρακολουθήσεις

Σε απαγόρευση επιχειρηματικής δραστηριοποίησης στον χώρο των παρακολουθήσεων σε βάρος της εταιρείας διάθεσης της εφαρμογής «SpyFone» προέβη η Ομοσπονδιακή Επιτροπή Εμπορίου («FTC»). Η απόφαση ελήφθη κατόπιν κατηγοριών ότι η εταιρεία συνέλεγε κρυφά και μοιραζόταν προσωπικά δεδομένα ατόμων αναφορικά με τις μετακινήσεις τους, τη χρήση του κινητού τηλεφώνου τους και τις δραστηριότητές τους στο διαδίκτυο. Η παρακολούθηση καθίστατο εφικτή μέσω της εγκατάστασης ειδικής εφαρμογής στο κινητό τηλέφωνο – στόχο εν αγνοία του κατόχου του, την οποία εφαρμογή η εταιρεία διέθετε στους ενδιαφερόμενους έναντι αντιτίμου. Κατ’ αυτό τον τρόπο παρεχόταν, μεταξύ άλλων, η δυνατότητα σε άτομα που παρενοχλούν ή προβαίνουν σε ενδοοικογενειακή κακοποίηση να παρακολουθούν κρυφά τα θύματά τους.

Ιρλανδία – «Σοκ και δέος»

«Σοκ και δέος» προκαλούν οι εξελίξεις της εφαρμογής του πλαισίου προστασίας προσωπικών δεδομένων στους τεχνολογικούς κολοσσούς. Λίγο καιρό μετά την ευρεία δημοσιοποίηση της «καμπάνας» πλησίον του 1 δις ευρώ (746 εκ. ευρώ) με την οποία βρίσκεται αντιμέτωπη η εταιρεία «Amazon» για οικείες παραβιάσεις από την Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, τη σκυτάλη παρέλαβε η Αρχή Προστασίας Δεδομένων της Ιρλανδίας. Στόχος της η πασίγνωστη εφαρμογή άμεσης ανταλλαγής μηνυμάτων «WhatsApp», για την οποία ανακοινώθηκε η επιβολή προστίμου ύψους 225 εκ. ευρώ. Η επιβληθείσα κύρωση αποτελεί καρπό έρευνας που ξεκίνησε τον Δεκέμβριο του 2018 με αντικείμενο το κατά πόσον το «WhatsApp» επιδείκνυε τη δέουσα διαφάνεια με την παροχή ενημέρωσης τόσο σε χρήστες όσο και μη χρήστες του για την επεξεργασία προσωπικών δεδομένων τους.

Ισραήλ – Δεδομένα τοποθεσίας

Σοβαρή προσβολή του δικαιώματος προστασίας των προσωπικών δεδομένων συνιστά η συλλογή δεδομένων τοποθεσίας των εργαζομένων από τους εργοδότες τους -μέσω ειδικών εφαρμογών σε κινητά τηλέφωνα/συσκευές και συστημάτων εντοπισμού οχημάτων- κατά την εθνική εποπτική αρχή. Αυτό μάλιστα ισχύει ακόμη και όταν ο γεωεντοπισμός λαμβάνει χώρα κατά τη διάρκεια της εργασίας. Κατά τη γνωμοδότηση της εποπτικής αρχής, οι εργοδότες προκειμένου να προβούν στην εν λόγω συλλογή δεδομένων οφείλουν προηγουμένως να σταθμίσουν σε βάθος αφενός το τυχόν όφελος τους και αφετέρου την προσβολή που εκδηλώνεται σε βάρος του εργαζομένου. Στην εν λόγω απόφαση τους καθοριστικό ρόλο πρέπει να διαδραματίζει η φύση και τα ιδιαίτερα χαρακτηριστικά της εκάστοτε εργασίας, που ενδέχεται να δικαιολογούν ή όχι τον γεωεντοπισμό.

Σρι Λάνκα – Νέα νομοθεσία

Σε κίνηση βρίσκεται η διαδικασία υιοθέτησης ειδικού νομοθετικού πλαισίου για την προστασία των προσωπικών δεδομένων στη Σρι Λάνκα. Η αρμόδια κρατική υπηρεσία σημειώνει σε ανακοίνωσή της ότι η υιοθέτηση της νέας νομοθεσίας έχει λάβει προτεραιότητα από το Υπουργείο Τεχνολογίας. Έτσι, σειρά φορέων εργάζεται για την υποστήριξη της εφαρμογής της, ενώ ορίστηκε επιτροπή ειδικών για τη διατύπωση του πλαισίου εφαρμογής. Επόμενο βήμα αποτελεί η υποβολή του νομοσχεδίου στο Υπουργικό Συμβούλιο. Η επιτροπή σύνταξης του νέου πλαισίου έλαβε υπόψη της κατά την εκπόνησή του τις βέλτιστες πρακτικές διεθνώς, όπως τον «GDPR», καθώς και τα ισχύοντα σε Καλιφόρνια, Ηνωμένο Βασίλειο, Σιγκαπούρη, Αυστραλία, Μαυρίκιο και Ινδία.