Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 15/04/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ετήσια έκθεση

Την ετήσια έκθεσή της για το 2019 επέδωσε στις αρχές Απριλίου ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) κ. Κωνσταντίνος Μενουδάκος στον Πρόεδρο της Βουλής των Ελλήνων κ. Κωνσταντίνο Τασούλα. Όπως σημείωσε ο Πρόεδρος της ελληνικής εποπτικής αρχής, το 2019 αποτέλεσε έτος αύξησης της ευαισθητοποίησης για την προστασία των προσωπικών δεδομένων, καθώς πλήθος οργανισμών και επιχειρήσεων αναδιοργάνωσαν διαδικασίες και υιοθέτησαν σχετικές βέλτιστες πρακτικές. Επισήμανε επίσης όμως ότι η ΑΠΔΠΧ εξακολουθεί να στερείται επαρκούς στελέχωσης και αναγκαίων πόρων. Η συγκρότησή της παρουσιάζει ελλείψεις τους τελευταίους 20 μήνες λόγω λήξης της θητείας ή αποχώρηση μελών, το δε ανθρώπινο δυναμικό της χρειάζεται ουσιαστική ενίσχυση.

Κύπρος – Πράσινο ψηφιακό πιστοποιητικό

Ανακοίνωση για το πράσινο ψηφιακό πιστοποιητικό («Digital Green Certificate»), την υιοθέτηση του οποίου προωθεί η Ευρωπαϊκή Ένωση για τη διευκόλυνση της ελεύθερης κυκλοφορίας των πολιτών εντός των κρατών μελών, εξέδωσε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Όπως αναφέρεται, το πιστοποιητικό θα εκδίδεται σε ηλεκτρονική ή χάρτινη μορφή από τα κράτη μέλη, τα οποία θα  εγγυώνται τη γνησιότητα, την εγκυρότητα και την ακεραιότητά του, με ηλεκτρονικές σφραγίδες ή παρόμοια μέσα. Η έκδοση του πιστοποιητικού θα είναι δωρεάν και η απόκτησή του θα είναι εύκολη. Ως προς τα ζητήματα προσωπικών δεδομένων που εγείρονται, αυτά βρίσκονται ακόμη υπό εξέταση. Υπενθυμίζεται ότι το πιστοποιητικό θα αφορά τον εμβολιασμό, την εξέταση και την ανάρρωση από τον COVID-19.

Νότια Κορέα – Διεθνείς διαβιβάσεις

Με κοινό ανακοινωθέν ο Επίτροπος για τη Δικαιοσύνη της Ευρωπαϊκής Ένωσης κ. Didier Reynders και ο επικεφαλής της Αρχής Προστασίας Δεδομένων της Νότιας Κορέας κ. Yoon Jong In ενημέρωσαν για την επιτυχή ολοκλήρωση των συνομιλιών μεταξύ Ευρωπαϊκής Ένωσης και Νότιας Κορέας αναφορικά με το επίπεδο προστασία των προσωπικών δεδομένων στην τελευταία. Σκοπός των εν λόγω διεργασιών είναι η έκδοση της λεγόμενης «απόφασης επάρκειας» από την Ευρωπαϊκή Επιτροπή που θα διαπιστώνει το επαρκές επίπεδο προστασίας προσωπικών δεδομένων στη Νότια Κορέα. Έτσι, θα καταστεί εφικτή η διαβίβαση προσωπικών δεδομένων ιδίως από επιχειρήσεις κρατών μελών της Ευρωπαϊκής Ένωσης στη Νότια Κορέα με μεγάλη ευχέρεια, χωρίς την ανάγκη υιοθέτησης μηχανισμών διασφάλισης κατάλληλων εγγυήσεων ως προς το ασφαλές της διαβίβασης.

Ρωσία – Facebook

Το πρόσφατο περιστατικό της εμφάνισης συνόλου δεδομένων, τα οποία φαίνεται ότι προέρχονται από το Facebook και αφορούν 553.000.000 χρήστες αυτού, σε δημόσια προσβάσιμη ιστοσελίδα απασχόλησε την αρμόδια ομοσπονδιακή αρχή της Ρωσίας («Roskomnadzor»). Σύμφωνα με τη σχετική ανακοίνωσή της, πληροφορίες κάνουν λόγο για περίπου 10.000.000 χρήστες του πασίγνωστου μέσου κοινωνικής δικτύωσης από τη Ρωσία οι οποίοι εμπλέκονται στο συμβάν, το οποίο αφορά μεταξύ άλλων τη δημοσιοποίηση ονοματεπωνύμων, τηλεφωνικών αριθμών, τοποθεσιών και ημερομηνιών γέννησης χρηστών. Η αρμόδια ρωσική αρχή κάλεσε το Facebook να προβεί στην παροχή πληροφοριών και να λάβει δέοντα προληπτικά μέτρα για το μέλλον. Πρόκειται για περιστατικό το οποίο έχει επηρεάσει πάνω από 600.000 χρήστες και στην Ελλάδα, σύμφωνα με την ΑΠΔΠΧ.

Σιγκαπούρη – Περιστατικά παραβίασης

Σε επικαιροποίηση του οδηγού αντιμετώπισης και γνωστοποίησης περιστατικών παραβίασης προέβη η Αρχή Προστασίας Δεδομένων της Σιγκαπούρης. Σύμφωνα με τον επικαιροποιημένο οδηγό, περιστατικά παραβίασης προσωπικών δεδομένων μπορούν να οδηγήσουν σε οικονομική ζημία για τον εμπλεκόμενο οργανισμό, καθώς και σε απώλεια εμπιστοσύνης των πελατών του. Οι τελευταίοι μάλιστα μπορούν να θιγούν βαρύτατα, εφόσον δεν ληφθούν με ταχύτητα μέτρα προστασίας τους. Για τους λόγους αυτούς, είναι σημαντικό οι εμπλεκόμενοι οργανισμοί να διαχειρίζονται και να ενημερώνουν σχετικά με αυτά τα συμβάντα. Υπενθυμίζεται ότι ως περιστατικό παραβίασης προσωπικών δεδομένων νοείται ευρέως η μη εξουσιοδοτημένη πρόσβαση, συλλογή, χρήση, κοινολόγηση, αντιγραφή, μεταβολή ή διάθεση προσωπικών δεδομένων.

Χονγκ Κονγκ – Μέσα κοινωνικής δικτύωσης

Οδηγό για την προστασία της ιδιωτικότητας κατά τη χρήση μέσων κοινωνικής δικτύωσης και εφαρμογών άμεσης ανταλλαγής μηνυμάτων εξέδωσε η Αρχή Προστασίας Δεδομένων του Χονγκ Κονγκ. Όπως αναφέρεται, οι παρεχόμενες στους χρήστες υπηρεσίες δεν είναι ποτέ απολύτως δωρεάν. Το αντίτιμο είναι τα προσωπικά δεδομένα τους, τα οποία συλλέγονται και τυγχάνουν επεξεργασίας από τους παρόχους των εν λόγω υπηρεσιών. Τι προτείνεται για την προστασία των προσωπικών δεδομένων; Μεταξύ άλλων, η προσεκτική ανάγνωση των σχετικών πολιτικών προστασίας, ο περιορισμός των προσωπικών δεδομένων που υποβάλλονται κατά την εγγραφή, η εξέταση των ρυθμίσεων ιδιωτικότητας που παρέχονται και η μεταβολή τους, όπου χρειάζεται, καθώς και η αυξημένη προσοχή κατά τη δημοσίευση/αποστολή προσωπικών πληροφοριών.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 1/04/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πολυμελές Πρωτοδικείο – Ανάρτηση φωτογραφίας

Με την υπ’ αριθμ. 3485/2020 απόφαση του Πολυμελούς Πρωτοδικείου Αθηνών χρήστης του Facebook κλήθηκε να καταβάλει 15.000 ευρώ για αποκατάσταση ηθικής βλάβης. Η υπόθεση αφορούσε την ανάρτηση στο δημόσιο προφίλ του στο μέσο κοινωνικής δικτύωσης φωτογραφίας οδηγού οχήματος με το όχημά του. Το τελευταίο ήταν σταθμευμένο σε θέση στάθμευσης αυτοκινήτων που προοριζόταν για άτομα με αναπηρία. Η ανάρτηση της φωτογραφίας συνοδευόταν από κείμενο του χρήστη στο οποίο αναφερόταν, μεταξύ άλλων, ότι «Με αυτά και με αυτά, ζητώ την Βοήθεια σας να τον μάθει όλη η Αττική – τουλάχιστον. Πάμε λοιπόν! Κοινοποιούμε!!!». Όπως κρίθηκε, η ως άνω ανάρτηση στο Facebook ήταν παράνομη, καθώς περιείχε προσωπικά δεδομένα του οδηγού του οχήματος. Ο τελευταίος είχε αντιταχθεί στη λήψη της φωτογραφίας του, εντούτοις όχι μόνο φωτογραφήθηκε, αλλά η επίμαχη λήψη αναρτήθηκε στο διαδίκτυο.

Κύπρος – Ετήσια έκθεση

Στις 18 Μαρτίου η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου παρέδωσε στον Πρόεδρο της Δημοκρατίας την ετήσια έκθεση του Γραφείου της για το 2019. Στο εντυπωσιακό εξώφυλλο της έκθεσης απεικονίζεται το ζωγραφικό έργο δύο μαθητριών Λυκείου, το οποίο κρίθηκε ως το καλύτερο στο σχετικό σχολικό διαγωνισμό  για την ευαισθητοποίηση των μαθητών στην προστασία των προσωπικών δεδομένων. Σύμφωνα με τα στατιστικά στοιχεία, το 2019 υποβλήθηκαν στο Γραφείο 421 παράπονα και εκδόθηκαν 34 αποφάσεις. Για τις 15 εκ των 34 αποφάσεων επιβλήθηκαν διοικητικά πρόστιμα συνολικού ύψους 142.600 ευρώ. To μεγαλύτερο επιβληθέν πρόστιμο ήταν ύψους 82.000 ευρώ και το μικρότερο ύψους 1.000 ευρώ. Κατά το ίδιο έτος υποβλήθηκαν στο Γραφείο 63 γνωστοποιήσεις παραβιάσεων προσωπικών δεδομένων.

Η.Π.Α. – Έκθεση κυβερνοεγκλημάτων

Στις 17 Μαρτίου το Ομοσπονδιακό Γραφείο Ερευνών των Η.Π.Α. («Federal Bureau of Investigation») ανακοίνωσε τη δημοσίευση της ετήσιας έκθεσης του 2020 για τα εγκλήματα στο διαδίκτυο («2020 Internet Crime Report»). Η έκθεση περιέχει πληροφορίες για 791.790 καταγγελίες περιστατικών οι οποίες υποβλήθηκαν σε αυτό. Στη σχετική κατάταξη των καταγγελθέντων εγκλημάτων, τις τρεις πρώτες θέσεις καταλαμβάνουν απάτες «ηλεκτρονικού ψαρέματος» («phishing scams»), απάτες μη πληρωμής / μη παράδοσης και εκβιάσεις. Περισσότερες από 28.500 καταγγελίες αφορούν απάτες οι οποίοι σχετίζονται με τον COVID-19 σε βάρος τόσο πολιτών όσο και επιχειρήσεων. Συγκριτικά με το 2019, παρατηρείται σημαντική αύξηση των καταγγελιών, καθώς αυτές είναι περισσότερες από 300.000. Πρόκειται για μια ακόμη αποτύπωση της έντονα αυξητικής τάσης του κυβερνοεγκλήματος.

Νέα Ζηλανδία – «Ποινικό ιστορικό»

Ο έλεγχος «ποινικού ιστορικού» («background check») εργαζομένου απασχόλησε πρόσφατα την Αρχή Προστασίας Δεδομένων της Νέας Ζηλανδίας (312002/2021). Άτομο που παρείχε υπηρεσίες φροντίδας προσελήφθη από ίδρυμα. Κατά τη διαδικασία πρόσληψής του, παρά το ότι συγκατατέθηκε στο να λάβει χώρα έλεγχος τυχόν παρελθούσας εγκληματικής δραστηριότητάς του από τη διεύθυνση του ιδρύματος, αυτός δεν έλαβε χώρα. Ύστερα από περισσότερο από ένα χρόνο εργασίας του, ο προσληφθείς είχε έντονο διαπληκτισμό με τον εργοδότη του. Λόγω αυτού, ο τελευταίος αποφάσισε τότε να προβεί σε έλεγχο «ποινικού ιστορικού» και στο πλαίσιο διαπίστωσης προηγούμενης εγκληματικής δραστηριότητας απέλυσε τον εργαζόμενο. Κατόπιν καταγγελίας του απολυθέντα ιδίως για τον κατά τη γνώμη του μη αναγκαίο έλεγχο «ποινικού ιστορικού», δεδομένου ότι είχε ήδη εργασθεί με επιτυχία στον εργοδότη του για ένα έτος, η εποπτική αρχή έκρινε ότι ο σχετικός έλεγχος ήταν παράνομος. Αυτός έπρεπε να είχε λάβει χώρα εντός τριών μηνών από τη λήψη της συγκατάθεσης του υποψήφιου εργαζομένου και όχι σχεδόν δεκατέσσερις μήνες από τον χρόνο λήψης αυτής.

Ολλανδία – Ιατρικοί φάκελοι

Πρόστιμο 440.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Ολλανδίας σε νοσοκομείο του Άμστερνταμ για ελλιπή προστασία των ιατρικών φακέλων, με αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβασή τους. Όπως κρίθηκε, για την ηλεκτρονική πρόσβαση στους ιατρικούς φακέλους ετηρείτο αυτοματοποιημένο σύστημα καταγραφής εισόδου. Αυτό όμως δεν ελεγχόταν  με τη δέουσα συχνότητα, ώστε να διαπιστωθεί τυχόν μη εξουσιοδοτημένη πρόσβαση. Περαιτέρω, δεν χρησιμοποιείτο αυθεντικοποίηση δύο παραγόντων («2-factor authentication») για την πρόσβαση σε αυτούς από τις εγκαταστάσεις του νοσοκομείου. Σημειώνεται ότι κατά την ειδική αυτή διαδικασία πιστοποίησης, για την είσοδο σε ένα ηλεκτρονικό σύστημα ζητείται από τον χρήστη όχι μόνο ο προσωπικός κωδικός του, αλλά και ένα ακόμη στοιχείο το οποίο γνωρίζει (π.χ. μυστική ερώτηση) ή κατέχει (π.χ. κωδικός σταλθέν στο κινητό τηλέφωνό του) ή είναι μέρος του (π.χ. δακτυλικό αποτύπωμα). Κατά την εποπτική αρχή, ο τομέας της υγείας αποτελεί έναν από τους τρεις τομείς με τα περισσότερα περιστατικά παραβίασης προσωπικών δεδομένων τα τελευταία χρόνια.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 11/03/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Απολογητικό υπόμνημα

Άμεση ήταν η αντίδραση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για την ανάρτηση απολογητικού υπομνήματος σε ιστοσελίδες. Το υπόμνημα αφορούσε γνωστό σκηνοθέτη – ηθοποιό σε βάρος του οποίου υποβλήθηκαν μηνύσεις για διάπραξη σεξουαλικών αδικημάτων. Όπως επισήμανε η ΑΠΔΠΧ, η αυτούσια ανάρτηση του εγγράφου, πέραν της  παραβίασης της αρχής της μυστικότητας της ποινικής προδικασίας, αποτέλεσε εξαιρετικά σοβαρή προσβολή των ευαίσθητων προσωπικών δεδομένων προσώπων. Τα εν λόγω πρόσωπα είτε κατονομάζονταν ρητά στο υπόμνημα είτε ήταν δυνατή η ταυτοποίησή τους. Για τους λόγους αυτούς, η εποπτική αρχή κάλεσε τους υπεύθυνους των εμπλεκόμενων ιστοσελίδων, μεταξύ άλλων, να προβούν στη διαγραφή από το κείμενο του υπομνήματος ονομάτων ή τυχόν υφιστάμενων στοιχείων ταυτοποίησης συγκεκριμένων προσώπων.

Κύπρος – Εφημερίδες

Δημοσιεύθηκαν στην ιστοσελίδα του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) οι αποφάσεις που εκδόθηκαν κατά την περίοδο Οκτωβρίου 2020 – Ιανουαρίου 2021. Ιδιαίτερο ενδιαφέρον παρουσιάζει καταγγελία κατά δύο εφημερίδων. Εκπαιδευτικός, ο οποίος αποτελούσε και δημόσιο πρόσωπο, διαμαρτυρήθηκε για δημοσίευμά τους αναφορικά με ισχυρισθείσα επίθεσή του προς ανήλικο μαθητή. Τα δημοσιεύματα δεν ανέφεραν το όνομα του εκπαιδευτικού, αλλά περιείχαν πρόσθετα στοιχεία  που θα μπορούσαν να οδηγήσουν στην ταυτοποίησή του από πρόσωπα του ευρύτερου κοινωνικού περιβάλλοντός του. Αποτέλεσμα αυτού ήταν ο εκπαιδευτικός να δεχθεί τηλεφωνήματα από γνωστούς τους, οι οποίοι διάβασαν τα δημοσιεύματα. Το Γραφείο Επιτρόπου έκρινε εν προκειμένω ότι το δικαίωμα της ελευθερίας έκφρασης υπερείχε του δικαιώματος της προστασίας των προσωπικών δεδομένων. Για τον λόγο αυτό, δεν διαπιστώθηκαν παραβάσεις.

Βιρτζίνια – Νέα νομοθεσία

Η δεύτερη πολιτεία των Η.Π.Α. που υιοθετεί εκτενές νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων γίνεται μετά την Καλιφόρνια η Βιρτζίνια. Πρόκειται για το «Virginia Consumer Data Protection Act». O νέος νόμος θέτει περιορισμούς ως προς την εφαρμογή του, καθώς προβλέπει κριτήρια εφαρμογής κυρίως με βάση τον αριθμό των προσώπων των οποίων τα δεδομένα τυγχάνουν επεξεργασίας από την εκάστοτε επιχείρηση. Έτσι, αυτός εφαρμόζεται όταν λαμβάνει χώρα: α) έλεγχος ή επεξεργασία προσωπικών δεδομένων τουλάχιστον 100.000 καταναλωτών κατά τη διάρκεια ενός ημερολογιακού έτους ή β) έλεγχος ή επεξεργασία προσωπικών δεδομένων τουλάχιστον 25.000 καταναλωτών, εφόσον πλέον του 50% του κύκλου εργασιών της επιχείρησης πηγάζει από την πώληση προσωπικών δεδομένων.

Δ.Ε.Ε. – «Βαριά καμπάνα»

Βαρύτατη χρηματική ποινή ύψους 15.000.000 ευρώ επέβαλε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) στην Ισπανία με πρόσφατη απόφασή του (υπόθεση C-658/19). Η παράβαση της Ισπανίας συνίσταται στη μη έγκαιρη ενσωμάτωση στο εθνικό δίκαιο της Οδηγίας 2016/680. Πρόκειται για την καλούμενη «αστυνομική οδηγία» ή «μικρή αδελφή» του GDPR, η οποία εφαρμόζεται ιδίως στην επεξεργασία προσωπικών δεδομένων από αστυνομικές αρχές. Μαζί με το ως άνω κατ’ αποκοπή πρόστιμο επιβλήθηκε και ημερήσια χρηματική ποινή ύψους 89.000 ευρώ μέχρι την ημέρα παύσης της διαπιστωθείσας παράβασης. Την «τύχη» της Ισπανίας παρά τρίχα δεν είχε και η Ελλάδα, η οποία ενσωμάτωσε την εν λόγω Οδηγία με καθυστέρηση που υπερέβη το ένα έτος.

Πολωνία – Περιστατικό παραβίασης

Πρόστιμο περίπου 30.000 ευρώ επέβαλε σε εταιρεία η Αρχή Προστασίας Δεδομένων της Πολωνίας για μη γνωστοποίηση σε αυτή περιστατικού παραβίασης. Το περιστατικό συνίστατο στην αποστολή από εργαζόμενο της εταιρείας σε λάθος παραλήπτη μηνύματος ηλεκτρονικής αλληλογραφίας με συνημμένο αρχείο, το οποίο περιείχε τα προσωπικά δεδομένα εκατοντάδων προσώπων. Το εν λόγω αρχείο δεν είχε κρυπτογραφηθεί ούτε είχε ληφθεί άλλο μέτρο ασφαλείας. Ο κατά λάθος παραλήπτης του ήταν αυτός μάλιστα ο οποίος κατήγγειλε το συμβάν. Υπενθυμίζεται ότι σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR, υφίσταται υποχρέωσης γνωστοποίησης περιστατικών παραβίασης προσωπικών δεδομένων, υπό προϋποθέσεις, στην εποπτική αρχή.

EUROPOL – «SIM Swapping»

Δέκα άτομα συνελήφθησαν για σειρά επιθέσεων «SIM Swapping» εναντίον διασημοτήτων στις Η.Π.Α. κατόπιν επιχείρησης υπό τον συντονισμό της EUROPOL. Σημειώνεται ότι σε αυτού του τύπου την επίθεση οι δράστες επιτυγχάνουν να εξαπατήσουν εργαζόμενους εταιρειών κινητής τηλεφωνίας και να αποκτήσουν νέα κάρτα SIM, προς αντικατάσταση αυτής που χρησιμοποιεί ο νόμιμος κάτοχός της στο κινητό τηλέφωνό του. Εν συνεχεία, οι δράστες ενεργοποιούν τη νέα κάρτα SIM σε δική τους συσκευή. Έτσι, η κάρτα SIM του νόμιμου κατόχου της απενεργοποιείται και εφεξής όλες οι υπηρεσίες κινητής τηλεφωνίας για τον τηλεφωνικό αριθμό αυτού, όπως κλήσεις, σύντομα γραπτά μηνύματα, χρήση διαδικτύου, διατίθενται στη συσκευή του δράστη. Στην επίμαχη υπόθεση, οι εγκληματίες πέτυχαν να αφαιρέσουν περισσότερα από 100.000.000 δολάρια σε κρυπτονομίσματα από τα θύματά τους.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 25/02/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Κυβερνοασφάλεια – Ασφαλής πλοήγηση

Με αφορμή την Παγκόσμια Ημέρα Ασφαλούς Πλοήγησης στο Διαδίκτυο, η Εθνική Αρχή Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης δημοσίευσε χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας στον κυβερνοχώρο. Ως προς τη χρήση κωδικών πρόσβασης στους λογαριασμούς στο διαδίκτυο, επισημαίνεται ότι επιβάλλεται το σύνθετο αυτών. Ο ιδανικός κωδικός πρόσβασης πρέπει να περιέχει συνδυασμό αριθμών, συμβόλων, κεφαλαίων και πεζών γραμμάτων. Το δε μήκος του πρέπει να είναι μεταξύ 10 και 12 χαρακτήρων. Η χρήση προσωπικών δεδομένων, κοινών λέξεων που γράφονται προς τα πίσω, καθώς και ακολουθιών αριθμών και χαρακτήρων δέον είναι να αποφεύγεται. Συνιστάται επίσης η χρήση αυθεντικοποίησης δύο παραγόντων («2-factor authentication»), όταν υποστηρίζεται.

Κύπρος – Ανίχνευση κορωνοϊού

Να μην αναφωνούνται προσωπικά δεδομένα προσώπων τα οποία υποβλήθηκαν σε εξέταση ταχείας ανίχνευσης κορωνοϊού προειδοποιεί το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου). Όπως αναφέρεται, η σχετική πρακτική έχει διαπιστωθεί κατ’ επανάληψη σε ορισμένα κέντρα διεξαγωγής της εν λόγω εξέτασης από εργαζομένους τους, κατά την ώρα παραλαβής των αποτελεσμάτων των εξετασθέντων. Σύμφωνα με το Γραφείο Επιτρόπου, στην εν λόγω συμπεριφορά ελλοχεύουν κίνδυνοι για τα επηρεαζόμενα πρόσωπα. Παραβιάζεται μάλιστα κατ’ αυτόν τον τρόπο ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός ως GDPR. Πρόκειται για μία ακόμη οδηγία εποπτικής αρχής στην κατεύθυνση αντιμετώπισης των νέων προκλήσεων της πανδημίας, οι οποίες εκδηλώθηκαν με σφοδρότητα και στον χώρο των προσωπικών δεδομένων.

Εσθονία – «Βαθύ ψεύδος»

Τον κώδωνα του κινδύνου για τα «deepfakes» κρούει η Υπηρεσία Πληροφοριών Εξωτερικού της Εσθονίας (EFIS) στην ετήσια έκθεσή της για ζητήματα διεθνούς ασφαλείας. Υπενθυμίζεται ότι η τεχνολογία «deepfake» επιτρέπει τη δημιουργία συνθετικών μέσων, π.χ. βίντεο, με τη χρήση τεχνητής νοημοσύνης, στα οποία υπαρκτά πρόσωπα εμφανίζονται να ενεργούν με ρεαλιστικό τρόπο, χωρίς όμως στην πραγματικότητα να είναι αυτά. Τα «deepfakes» μπορούν να χρησιμοποιηθούν ιδίως για την τέλεση απάτης, εκβιασμού, την παράκαμψη μέτρων ασφαλείας για την αυθεντικοποίηση χρηστών, καθώς και στο πλαίσιο ψευδών ειδήσεων. Κατά την έκθεση, ο κίνδυνος θα καταστεί εξαιρετικά μεγάλος, όταν η τεχνολογική πρόοδος επιτρέψει τη δημιουργία «deepfakes» τόσο πειστικών, ώστε η ανίχνευση του ψεύδους τους να είναι αδύνατη με ανθρώπινο μάτι.

Ισπανία – Διαδικτυακές τηλεδιασκέψεις

Βασικές κατευθύνσεις για την πραγματοποίηση διαδικτυακών τηλεδιασκέψεων με στόχο την προστασία της ιδιωτικότητας και της ασφάλειας εξέδωσε η Αρχή Προστασίας Δεδομένων της Ισπανίας. Επαναφέροντας στη μνήμη το συμβάν του περασμένου Νοεμβρίου, όταν Ολλανδός δημοσιογράφος κατάφερε να εισέλθει σε διαδικτυακή τηλεδιάσκεψη των Υπουργών Αμύνης της Ευρωπαϊκής Ένωσης, η εποπτική αρχή τονίζει τη σημασία εφαρμογής βασικών μέτρων προστασίας. Μεταξύ άλλων, επισημαίνεται ότι οι τηλεδιασκέψεις δεν θα πρέπει να καταγράφονται, εκτός αν είναι αναγκαίο. Στην τελευταία περίπτωση, οι συμμετέχοντες θα πρέπει να ενημερώνονται για τον σκοπό της καταγραφής, καθώς και για το χρονικό σημείο έναρξης και λήξης της καταγραφής. Η σχετική ενημέρωση μπορεί να γίνεται και με αυτοματοποιημένο τρόπο.

Φινλανδία – Σχολικές φωτογραφίες

Εταιρεία φωτογράφισης παιδιών σε σχολεία της Φινλανδίας είχε υιοθετήσει την πρακτική να ενσωματώνει τις εκάστοτε φωτογραφίες, σε ασπρόμαυρη σμίκρυνση, στο αντίστοιχο τιμολόγιό της. Η μέθοδος αυτή διασφάλιζε κατά την εταιρεία την ορθή αντιστοίχιση φωτογραφιών και τιμολογίου για τους πελάτες της. Στην περίπτωση που καταγγέλθηκε, το επίμαχο τιμολόγιο διαβιβάστηκε στη συνέχεια σε εταιρεία είσπραξης απαιτήσεων, προκειμένου να επιτευχθεί η αποπληρωμή του. Έτσι όμως, διαβιβάστηκε και το περιεχόμενο των φωτογραφιών. Κατά την Αρχή Προστασίας Δεδομένων της Φινλανδίας, εν προκειμένω διαπιστώθηκε ιδίως παραβίαση της θεμελιώδης αρχής της ελαχιστοποίησης του GDPR, που επιβάλλει η επεξεργασία των προσωπικών δεδομένων να περιορίζεται στο αναγκαίο. Κατ’ εφαρμογή της, η πρακτική αυτή δεν ήταν εξ αρχής αναγκαία για την επίτευξη του σκοπού της ορθής αποστολής των φωτογραφιών σε πελάτες. Επομένως, ήταν αδικαιολόγητη.

INTERPOL – Νοτιοανατολική Ασία

Τις κυριότερες κυβερνοαπειλές στην περιοχή της Ένωσης των Χωρών της Νοτιοανατολικής Ασίας (ASEAN) επισημαίνει σε πρόσφατη έκθεσή της η INTERPOL. Όπως διαπιστώνεται, η αυξημένη χρήση του διαδικτύου λόγω πανδημίας έχει οδηγήσει σε άνοδο του κυβερνοεγκλήματος. Στην κορυφή της λίστας των κυβερνοαπειλών βρίσκονται, μεταξύ άλλων, οι απάτες επαγγελματιών στο διαδίκτυο («Βusiness Ε-mail Compromise»), όπου οι δράστες παρεμβαίνουν στη διαδικτυακή επικοινωνία μεταξύ συναλλασσόμενων επαγγελματιών, πείθοντας τους να καταθέσουν χρήματα σε διαφορετικούς τραπεζικούς λογαριασμούς από τους αρχικά συμφωνηθέντες. Επίσης, το ηλεκτρονικό ψάρεμα («phishing»), όπου οι δράστες προσποιούνται με ηλεκτρονική αλληλογραφία ότι εκπροσωπούν μια υπαρκτή εταιρεία, π.χ. τράπεζα, επιδιώκοντας να αποσπάσουν προσωπικά και οικονομικά δεδομένα του παραλήπτη.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 11/02/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Νέα διαδικτυακή πύλη

Σε πλήρη λειτουργία τελεί πλέον η νέα διαδικτυακή πύλη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Παράλληλα, αναβαθμίζονται οι ηλεκτρονικές υπηρεσίες που μέσω αυτής παρέχονται στους πολίτες. Έτσι, αυτοί εφεξής έχουν ιδίως τις ακόλουθες δυνατότητες: α) υποβολή διαφόρων τύπων καταγγελίας, με καθοδήγηση στη συμπλήρωσή τους, όπως για παραβίαση δικαιώματος, για ανεπιθύμητες τηλεφωνικές προωθητικές κλήσεις, καθώς και για ανεπιθύμητα email και SMS, β) υποβολή αιτήματος παροχής πληροφοριών σε σχέση με τα δικαιώματα του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, γ) αυτοματοποιημένη διαχείριση της εγγραφής στο αποκαλούμενο «Μητρώο του άρθρου 13» για τη μη λήψη επικοινωνίας μέσω παραδοσιακού ταχυδρομείου αναφορικά με θέματα διαφήμισης αγαθών. Η πρόσβαση στις ηλεκτρονικές υπηρεσίες πραγματοποιείται με τη χρήση των διαπιστευτηρίων του taxisnet. Η νέα ιστοσελίδα είναι διαθέσιμη στην υπάρχουσα διεύθυνση «www.dpa.gr».

Κύπρος – Πολιτική επικοινωνία

Οδηγίες για την αποστολή μηνυμάτων και διενέργεια κλήσεων πολιτικού περιεχόμενου / προώθησης υποψηφιοτήτων (Αρ. Φακ.: 11.17.003.002) εξέδωσε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου. Κατά τις εν λόγω οδηγίες το περιεχόμενο μιας πολιτικής επικοινωνίας μπορεί να παρουσιάζεται όχι μόνο άμεσα, αλλά και έμμεσα, όπως με απλή παράθεση του προγράμματος δράσης και των πολιτικών ιδεών, με ενημερωτικό δελτίο που καλύπτει διάφορα θέματα, με προσκλήσεις σε ιστοχώρους για ανάγνωση πολιτικών μηνυμάτων ή με πρόσκληση σε προεκλογική ομιλία ή εκδήλωση. Όλα τα ως άνω μηνύματα θεωρούνται διαφημιστικά και εφαρμόζεται το πλαίσιο προστασίας προσωπικών δεδομένων. Προβλέπεται επίσης ότι δεν επιτρέπεται να χρησιμοποιηθούν αριθμοί ή διευθύνσεις από πηγές προσβάσιμες στο κοινό, όπως τον τηλεφωνικό κατάλογο, το διαδίκτυο ή καταλόγους μελών επαγγελματικών ενώσεων, σωματείων, συλλόγων και επαγγελματικών κλάδων, για αποστολή μηνυμάτων και διενέργεια κλήσεων πολιτικού περιεχομένου / προώθησης υποψηφιοτήτων.

Αυστραλία – Φωτογραφίες παιδιών

Η Ομοσπονδιακή Αστυνομία της Αυστραλίας (AFP) προειδοποιεί γονείς να μην αναρτούν σε μέσα κοινωνικής δικτύωσης φωτογραφίες των παιδιών τους από το σχολείο τους, προτού να έχουν ελέγξει τις οικείς ρυθμίσεις ιδιωτικότητας της εκάστοτε εφαρμογής. Φωτογραφίες παιδιών με σχολική ενδυμασία, το όνομά τους και ενδείξεις της τοποθεσίας τους μπορούν να χρησιμοποιηθούν από κακόβουλους για τη δημιουργία προφίλ των παιδιών και τη σεξουαλική παρενόχληση / κακοποίησή τους. Συνιστάται, λοιπόν, ο διαμοιρασμός των οικείων φωτογραφιών να γίνεται μόνο με πρόσωπα τα οποία οι γονείς γνωρίζουν και εμπιστεύονται. Όπως επισημαίνεται, οι σχετικοί κίνδυνοι είναι αυξημένοι κατά την περίοδο της πανδημίας, καθώς η εντονότερη διαδικτυακή παρουσία των παιδιών δημιουργεί αντίστοιχα περισσότερες ευκαιρίες στοχοποίησής τους. Έτσι, οι γονείς παροτρύνονται να μη δημοσιεύουν το ονοματεπώνυμο των παιδιών, την ηλικία τους και την ακριβή τοποθεσία λήψης της φωτογραφίας, όπως και να ελέγχουν το φόντο της εκάστοτε φωτογραφίας, ώστε να μην παρέχονται συναφή στοιχεία.

Ιταλία – Μοιραίο «παιχνίδι»

Ένα παιδί ηλικίας 10 ετών στην Ιταλία φέρεται να έχασε τη ζωή του τον Ιανουάριο κατά τη συμμετοχή του σε «παιχνίδι-πρόκληση λιποθυμίας» της γνωστής εφαρμογής TikTok για το διαμοιρασμό μικρών βίντεο. Η «πρόκληση» συνίστατο στην εκούσια πρόκληση λιποθυμίας του συμμετέχοντος. Το άτυχο παιδί φέρεται ότι συμμετέχοντας στην «πρόκληση» προκάλεσε τον θάνατό του. Ακολούθησε άμεση παρέμβαση της ιταλικής Αρχής Προστασίας Δεδομένων, η οποία επέβαλε στο TikTok την απαγόρευση επεξεργασίας προσωπικών δεδομένων κάθε πολίτη της Ιταλίας, του οποίου η ηλικία δεν έχει επιβεβαιωθεί. Ως απάντηση στις ενέργειες της ιταλικής εποπτικής αρχής, το TikTok ανακοίνωσε ότι προτίθεται να εφαρμόσει μέτρα απαγόρευσης πρόσβασης στην εφαρμογή όλων των χρηστών κάτω των 13 ετών και θα εξετάσει την ανάπτυξη συστημάτων τεχνητής νοημοσύνης για τον σκοπό ηλικιακών ελέγχων. Περαιτέρω, θα προχωρήσει στη διεξαγωγή διαδικτυακής καμπάνιας για την ενημέρωση γονέων και παιδιών. Μεταξύ άλλων, όλοι οι χρήστες του TikTok στην Ιταλία θα χρειαστεί να δηλώσουν εκ νέου στην εφαρμογή την ημερομηνία γέννησής τους.

Καναδάς – Μαζική παρακολούθηση

Την τεχνολογική εταιρεία Clearview AI θέτουν στο στόχαστρό τους οι Αρχές Προστασίας Δεδομένων του Καναδά. Όπως ανακοινώθηκε, η δραστηριότητα της Clearview AI συνιστά μαζική παρακολούθηση και παραβιάζει τα δικαιώματα στην ιδιωτικότητα των πολιτών. Ειδικότερα, η τεχνολογική εταιρεία καθιστά εφικτή σε αστυνομικές αρχές και εμπορικούς οργανισμούς την ταυτοποίηση φωτογραφιών αγνώστων προσώπων, μέσω της σύγκρισής τους με τη βάση δεδομένων την οποία αυτή διαθέτει. Η εν λόγω βάση δεδομένων περιλαμβάνει περισσότερες από τρία δισεκατομμύρια φωτογραφίες, μεταξύ των οποίων φωτογραφίες πολιτών του Καναδά, συμπεριλαμβανομένων παιδιών. Πλήθος δεδομένων έχουν συλλεγεί χωρίς τη γνώση ή συγκατάθεση των εμπλεκομένων.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 28/01/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Σ.Ε.Β. – Τεχνητή νοημοσύνη

Το 59^ο τεύχος των ειδικών εκθέσεων («Special Reports») του Συνδέσμου Επιχειρήσεων και Βιομηχανιών (ΣΕΒ) είναι αφιερωμένο στην τεχνητή νοημοσύνη. Υπενθυμίζεται ότι τεχνητή νοημοσύνη ονομάζεται η ικανότητα μιας μηχανής να δρα όπως ο ανθρώπινος νους, κατανοώντας, αναλύοντας και μαθαίνοντας από δεδομένα, ώστε να είναι δυνατή π.χ. η αυτόνομη λήψη αποφάσεων. Κατά τον ΣΕΒ τα συστήματα τεχνητής νοημοσύνης μπορούν να ωφελήσουν σημαντικά τις επιχειρήσεις που τα υιοθετούν, όπως για τη μείωση σφαλμάτων στην παραγωγή και την πρόβλεψη της ζήτησης. Παρά ταύτα, στη χώρα μας μόλις το 3% των επιχειρήσεων αξιοποιεί σχετικές λύσεις, όταν σε παγκόσμια κλίμακα το οικείο ποσοστό είναι 45%.

Ηλεκτρονικό έγκλημα – Κρυπτονομίσματα

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ) εξιχνίασε κατά τον τρέχοντα μήνα μεγάλη υπόθεση διαδικτυακής απάτης, καθώς και κλοπής κρυπτονομισμάτων και χρηματικού ποσού, συνολικής αξίας 260.000 ευρώ. Σημειώνεται ότι τα κρυπτονομίσματα  αποτελούν ηλεκτρονική μορφή χρήματος, το οποίο μπορεί να χρησιμοποιηθεί για την αγορά προϊόντων και υπηρεσιών. Χαρακτηριστικό παράδειγμα κρυπτονομίσματος είναι το Bitcoin. Στην εν λόγω υπόθεση, σύμφωνα με την καταγγελία πολίτη, άγνωστοι δράστες παραβίασαν το ηλεκτρονικό ταχυδρομείο του, υπέκλεψαν τα διαπιστευτήρια εισόδου και εισήλθαν στο ψηφιακό πορτοφόλι του, αφαιρώντας το ως άνω ποσό. Μετά από αστυνομική και διαδικτυακή έρευνα, σε συνεργασία με αλλοδαπές αστυνομικές αρχές, ταυτοποιήθηκαν ως δράστες δύο αλλοδαποί – κάτοικοι εξωτερικού.

EUROPOL – Τέλος στο DarkMarket

«Τίτλοι τέλους» έπεσαν για το DarkMarket, τη μεγαλύτερη παράνομη αγορά στο διαδίκτυο, με τη σύλληψη Αυστριακού στη Γερμανία, ο οποίος φέρεται ότι είναι υπεύθυνος για τη λειτουργία του. Στη διεθνή επιχείρηση συμμετείχαν η Αυστρία, η Γερμανία, η Δανία, το Ηνωμένο Βασίλειο, οι ΗΠΑ, η Μολδαβία και η Ουκρανία, με την υποστήριξη και υπό το συντονισμό της EUROPOL. Στο DarkMarket προσφέρονταν προς πώληση ναρκωτικές ουσίες, πλαστά χρήματα, δεδομένα πιστωτικών καρτών, ανώνυμες κάρτες SIM και κακόβουλο λογισμικό. Οι χρήστες του ανέρχονταν περίπου στους 500.000, με το συνολικό ύψος των συναλλαγών να αγγίζει τα 140.000.000 ευρώ.

Γερμανία – Παρακολούθηση εργαζομένων

Πρόστιμο ύψους 10.400.000 ευρώ επέβαλε η γερμανική Αρχή Προστασίας Δεδομένων της Κάτω Σαξονίας σε βάρος εταιρείας πώλησης ηλεκτρονικών συσκευών για παράνομη παρακολούθηση εργαζομένων. Οι παράνομες κάμερες είχαν τοποθετηθεί, μεταξύ άλλων,  σε χώρους εργασίας, χώρους πραγματοποίησης πωλήσεων και αποθήκες, με την παράνομη παρακολούθηση να λαμβάνει χώρα για περισσότερα από δύο έτη. Η εταιρεία στην οποία υποβλήθηκε το πρόστιμο υποστήριξε ότι η εγκατάσταση του συστήματος βιντεοεπιτήρησης απέβλεπε στην πρόληψη και διερεύνηση αξιόποινων πράξεων, καθώς και στον έλεγχο της ροής των προϊόντων στις αποθήκες. Η εποπτική αρχή αντέταξε όμως ότι προ της εγκατάστασης των καμερών πρέπει να εξετάζεται η δυνατότητα λήψης ηπιότερων μέτρων, το οποίο δεν είχε συμβεί εν προκειμένω. Περαιτέρω, η εγκατάστασή τους για τη διερεύνηση αξιόποινων πράξεων επιτρέπεται μόνο εφόσον υπάρχουν δικαιολογημένες υποψίες κατά συγκεκριμένων προσώπων και αποκλειστικά για περιορισμένο χρονικό διάστημα.

Ιρλανδία – Κάμερες σε οικίες

Σύντομες κατευθύνσεις για τη χρήση καμερών σε περιβάλλον κατοικιών εξέδωσε η ιρλανδική Αρχή Προστασίας Δεδομένων. Όπως σημειώνει, αυτή έχει γίνει αποδέκτης μεγάλου αριθμού καταγγελιών για παράνομη λειτουργία τους, συνήθως σε γειτονικές κατοικίες. Πρόκειται για πρόβλημα που απασχολεί έντονα και τη χώρα μας, με αμέτρητες κάμερες να έχουν εγκατασταθεί σε οικίες, ιδίως στο κέντρο της πρωτεύουσας και τα προάστια, κατά παράβαση του νομοθετικού πλαισίου. Σύμφωνα με την ιρλανδική εποπτική αρχή, εφόσον λαμβάνεται εικόνα προσώπων εκτός της περιμέτρου της εκάστοτε οικίας πρέπει να υιοθετείται σειρά μέτρων, όπως η τοποθέτηση ειδικών ενημερωτικών πινακίδων. Και στην Ελλάδα, πέραν αυτού, οι εν λόγω κάμερες απαιτείται ιδίως να μη λαμβάνουν εικόνα από παράπλευρες οδούς, από πεζοδρόμια, ούτε από εισόδους ή εσωτερικό γειτονικών κατοικιών, κτιρίων ή λοιπών χώρων.

Νορβηγία – Καταγραφή ανηλίκων

Πρόστιμο ύψους περίπου 40.000 ευρώ επέβαλε η νορβηγική Αρχή Προστασίας Δεδομένων για παράνομη διαβίβαση καταγραφής κάμερας σε τρίτα πρόσωπα. Η υπόθεση (20/01790) αφορούσε παντοπωλείο, υπάλληλος του οποίου κατέγραψε στο προσωπικό κινητό τηλέφωνό του ανηλίκους, για τους οποίους θεώρησε ότι διέπρατταν κλοπή. Στη συνέχεια, αυτός προχώρησε στη διαβίβαση της εν λόγω καταγραφής της κάμερας σε γνωστό του, στην προσπάθεια ταυτοποίησης των ανηλίκων. Ο τρίτος προέβη και αυτός με τη σειρά του στην περαιτέρω διαβίβαση του υλικού, με αποτέλεσμα αυτό να φθάσει σε πλήθος προσώπων. Η εποπτική αρχή έκρινε ότι το συμβάν έπρεπε να είχε αναφερθεί στην αστυνομία και ότι κακώς έλαβε χώρα διαβίβαση της καταγραφής σε άλλον ιδιώτη.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/01/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ημερίδα για πανδημία

Η Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης έχει ανακηρύξει ήδη από το 2006 την 28^η Ιανουαρίου ως Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Ο εορτασμός της έχει ως στόχο την ενημέρωση και ευαισθητοποίηση των πολιτών σε συναφή ζητήματα. Με αυτή τη στόχευση, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) διοργανώνει στις 28 Ιανουαρίου διαδικτυακή ενημερωτική ημερίδα με θέμα «Προστασία δεδομένων στο πλαίσιο μέτρων αντιμετώπισης της πανδημίας». Κατά την εκδήλωση θα συζητηθούν, μεταξύ άλλων, η τηλεκπαίδευση, οι εφαρμογές ιχνηλάτησης επαφών, οι εργασιακές σχέσεις και οι ψευδείς ειδήσεις («fake news») εν καιρώ πανδημίας, πάντα υπό το πρίσμα της προστασίας των προσωπικών δεδομένων. Η ημερίδα θα μεταδοθεί ελεύθερα στον  ιστότοπο  της  υπηρεσίας  ΔΙΑΥΛΟΣ  του  Εθνικού  Δικτύου  Υποδομών, Τεχνολογίας και Έρευνας.

«Βασίλισσα» η πολιτική επικοινωνία

Το πέρας του 2020 αποτελεί έναυσμα για μια πρώτη αξιολόγηση των αποφάσεων που εξέδωσε η ΑΠΔΠΧ κατά τη διάρκειά του. Η σύντομη επισκόπηση καταδεικνύει ότι από τις 44 αποφάσεις που δημοσιεύθηκαν στην ιστοσελίδα της Αρχής, οι 21 αφορούσαν παράνομη πολιτική επικοινωνία, στέφοντας την τελευταία «βασίλισσα» της παραβατικότητας. Με τις εν λόγω αποφάσεις επιβλήθηκαν αθροιστικώς πρόστιμα ύψους 50.000 ευρώ. Σημειώνεται ότι η πολιτική επικοινωνία μέσω σύντομων γραπτών μηνυμάτων (SMS) και μηνυμάτων ηλεκτρονικής αλληλογραφίας (email) απαιτεί κατά κανόνα τη συγκατάθεση του αποδέκτη της επικοινωνίας. Πρόκειται άραγε για τα τελευταία «καρφιά» στο «φέρετρο» της παράνομης πολιτικής επικοινωνίας ή το θλιβερό φαινόμενο θα επαναληφθεί το 2021;

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων

Χρήσιμα συμπεράσματα συνάγονται επίσης από την επισκόπηση των αποφάσεων που δημοσιεύθηκαν κατά το 2020 στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ). Υπενθυμίζεται ότι το τελευταίο αποτελεί όργανο της Ευρωπαϊκής Ένωσης (Ε.Ε.), με κύριο καθήκον τη διασφάλιση της συνεκτικούς εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR. Οι σχεδόν 60 επιλεγμένες αποφάσεις που δημοσιεύθηκαν κατά το απελθόν έτος προέρχονται από τις εποπτικές αρχές του Βελγίου, της Γερμανίας, της Δανίας, της Ελλάδας, της Εσθονίας, της Ιρλανδίας, της Ισλανδίας, της Ισπανίας, της Ιταλίας, της Κύπρου, της Λιθουανίας, της Νορβηγίας, της Ολλανδίας, της Ουγγαρίας, της Πολωνίας, της Σουηδίας και της Φινλανδίας. Με αυτές επιβάλλονται ή προτείνονται αθροιστικώς πρόστιμα ύψους περίπου 120.000.000 εκατομμυρίων ευρώ. Σύμφωνα με το περιεχόμενό τους, το μεγαλύτερο πρόστιμο ύψους περίπου 35.300.000 ευρώ επιβλήθηκε από την εποπτική αρχή του Αμβούργου λόγω εκτενούς «φακελώματος» της ιδιωτικής ζωής εργαζομένων. Το μικρότερο πρόστιμο ύψους 1.000 ευρώ επιβλήθηκε από την εποπτική αρχή του Βελγίου για μη απάντηση σε άσκηση συναφούς δικαιώματος πολίτη και μη συνεργασία με την εποπτική αρχή.

INTERPOL – Διαδικτυακές απάτες

Περίπου 21.600 συλλήψεις πραγματοποιήθηκαν στο πλαίσιο μεγάλης επιχείρησης της INTERPOL, η οποία διήρκεσε ένα έτος και ολοκληρώθηκε κατά την εκπνοή του 2020, για την καταπολέμηση της απάτης μέσω τηλεπικοινωνιών και τεχνικών κοινωνικής μηχανικής («social engineering»). Πρόκειται για εγκληματικές δραστηριότητες με συχνά διασυνοριακό χαρακτήρα, καθώς δράστες και θύματα βρίσκονται σε διαφορετικές χώρες ή ακόμη και σε διαφορετικές ηπείρους. Κατά τη διεξαγωγή της επιχείρησης ερευνήθηκαν 10.380 τοποθεσίες, 310 τραπεζικοί λογαριασμοί «πάγωσαν» και εντοπίσθηκαν παράνομα κεφάλαια που υπερβαίνουν τα 150.000.000 δολάρια. Οι απάτες συνδέονταν ιδίως με δήθεν επενδύσεις, την πανδημία του COVID-19, υποτιθέμενες ρομαντικές σχέσεις, παραβίαση επαγγελματικών ηλεκτρονικών διευθύνσεων και χρήση σύντομων γραπτών μηνυμάτων (SMS).

Ηνωμένο Βασίλειο – Διαβιβάσεις

Κατόπιν της επίτευξης συμφωνίας μεταξύ Ε.Ε. και Ηνωμένου Βασιλείου αναφορικά με τις μεταξύ τους σχέσεις, λόγω της αποχώρησης του τελευταίου από την πρώτη («Brexit»), η ελεύθερη κυκλοφορία των προσωπικών δεδομένων συνεχίζεται αδιατάρακτη. Έτσι, το Ηνωμένο Βασίλειο εξακολουθεί να θεωρείται ασφαλής προορισμός για τα προσωπικά δεδομένα, για χρονικό διάστημα όμως που δεν μπορεί να υπερβαίνει τους έξι μήνες, εντός του οποίου πρέπει να υιοθετηθεί σχετική απόφαση διασφάλισης επαρκούς προστασίας από την Ευρωπαϊκή Επιτροπή. Επομένως, επιχειρήσεις και οργανισμοί στην Ε.Ε. εξακολουθούν να μπορούν να διαβιβάζουν προσωπικά δεδομένα σε επιχειρήσεις και οργανισμούς εντός του Ηνωμένου Βασιλείου, χωρίς να απαιτείται αλλαγή στις μέχρι σήμερα πρακτικές τους για την προστασία των προσωπικών δεδομένων.

Βέλγιο – Ιστοσελίδες

Η βελγική Αρχή Προστασίας Δεδομένων προέβη σε συμφωνία με τον βελγικό οργανισμό διαχείρισης των διευθύνσεων ιστοσελίδων με κατάληξη «.be». Αντικείμενο της συμφωνίας είναι η αναστολή της δυνατότητας πρόσβασης σε βελγικές ιστοσελίδες, κατόπιν της συνεργασίας των δύο φορέων, όταν διαπιστώνονται σοβαρές παραβιάσεις της νομοθεσίας για την προστασία των προσωπικών δεδομένων. Νέα «βέλη», λοιπόν, στη «φαρέτρα» της εποπτικής αρχής, στην προσπάθεια επίτευξης πλήρους εφαρμογής του ρυθμιστικού πλαισίου.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 21/12/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Χριστουγεννιάτικες ευχές

Η εορταστική περίοδος αποτελεί μία πρώτης τάξεως ευκαιρία για την ανταλλαγή ευχών μεταξύ συγγενών και φίλων. Σε αυτούς συχνά προστίθενται πολιτευτές ή επιχειρήσεις που απρόσμενα μας «θυμούνται», με απροσδόκητες όμως ορισμένες φορές γι’ αυτούς συνέπειες. Λόγω των εορτών, ανακαλούμε στη μνήμη μας την περίπτωση που αντιμετώπισε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου το φθινόπωρο του περασμένου έτους, εξετάζοντας καταγγελίες κατά πολιτευτών. Δυο πολίτες κατήγγειλαν τη λήψη ευχετήριων μηνυμάτων από τρίτο πρόσωπο μέσω τηλεφώνου. Ο μεν πρώτος καταγγείλας είχε λάβει ξανά κατά το παρελθόν ευχές και είχε ζητήσει να μη λάβει εκ νέου, ο δε δεύτερος δεν είχε καμία προσωπική σχέση με τον αποστολέα. Το Γραφείο Επιτρόπου, λαμβάνοντας υπόψη ότι ο καθ’ ου η καταγγελία συνήθιζε να στέλνει ευχετήρια μηνύματα σε χιλιάδες άτομα τόσο τα Χριστούγεννα όσο και το Πάσχα, έκρινε ότι η εν λόγω δραστηριότητα ενέπιπτε στον τομέα των  ενεργειών προώθησης του εαυτού του. Αυτό είχε ως συνέπεια να είναι απαραίτητη, μεταξύ άλλων, η προηγούμενη συγκατάθεση των παραληπτών για την αποστολή των «ευχών». Έτσι, επιβλήθηκε πρόστιμο ύψους 2.000 ευρώ στον «ευγενή» αποστολέα.

Επενδύσεις με εύκολο κέρδος;

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) προειδοποιεί το κοινό για ύποπτες τηλεφωνικές κλήσεις με σκοπό την προώθηση χρηματιστηριακών προϊόντων, συνήθως μέσω διαδικτυακών συναλλαγών. Επιτήδειοι επικοινωνούν με τους πολίτες και επιχειρούν να τους εξαπατήσουν, υποσχόμενοι επενδύσεις με εύκολο κέρδος. Οι καλούντες χρησιμοποιούν μάλιστα την τεχνική «caller id spoofing», μέσω της οποίας επιτυγχάνουν να αλλάζουν την ταυτότητα του καλούντος αριθμού σε μη πραγματικό αριθμό, ώστε να είναι αδύνατο να προσδιοριστεί ποιος καλεί. Δυστυχώς, ως προς τα υποσχόμενα κέρδη, για μια ακόμη φορά επαληθεύεται η ρήση «πολύ ωραίο για να είναι πραγματικό».

Γαλλία – «Αλμυρά μπισκότα»

«Αλμυρά» αποδεικνύονται τελικά τα «μπισκότα» (cookies) για σειρά επιχειρήσεων στη Γαλλία. Υπενθυμίζεται ότι τα cookies αποτελούν μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον υπολογιστή μας κατά την περιήγησή μας στο διαδίκτυο. Μέσω αυτών καθίσταται εφικτή ιδίως η παρακολούθηση της συμπεριφοράς μας στον κυβερνοχώρο και η προβολή στις συσκευές μας στοχευμένων διαφημίσεων.H εγκατάστασή τους προϋποθέτει προηγούμενη ενημέρωση του χρήστη και κατά περίπτωση λήψη συγκατάθεσης. Κατόπιν σχετικών ενεργειών, η γαλλική εποπτική αρχή διαπίστωσε μη τήρηση της οικείας νομοθεσίας, με αποτέλεσμα να επιβάλει κατά την τρέχουσα περίοδο σειρά προστίμων που προκαλεί ίλιγγο: 3.000.000 ευρώ σε δύο εταιρείες του ομίλου Carrefour, οι οποίες υπέπεσαν όμως και σε άλλες παραβάσεις, 100.000.000 ευρώ στη Google και 35.000.000 ευρώ στην Amazon.

Βέλγιο – Αποχώρηση εργαζομένου

Πώς χειριζόμαστε την επαγγελματική ηλεκτρονική διεύθυνση εργαζομένου κατά την αποχώρησή του από τον οργανισμό στον οποίο απασχολείται; Επιτρέπεται να τη διατηρούμε ενεργή, προωθώντας τα εισερχόμενα μηνύματα σε άλλη ηλεκτρονική διεύθυνση της εταιρείας; Στο ερώτημα αυτό, το οποίο απασχολεί πλήθος επιχειρήσεων, απαντά με πρόσφατη απόφασή της (υπ’ αριθ. 64/2020) η εποπτική αρχή του Βελγίου, η οποία κρίνει ως παράνομη την ως άνω πρακτική. Κατά την κρίση της, ο ορθός χειρισμός της επαγγελματικής ηλεκτρονικής διεύθυνσης συνοψίζεται ιδίως στα εξής: α) ενημέρωση του αποχωρούντος εργαζομένου ότι η επαγγελματική ηλεκτρονική διεύθυνσή του θα μπλοκαριστεί, β) δημιουργία αυτοματοποιημένου απαντητικού μηνύματος για κάθε εισερχόμενο μήνυμα στην επαγγελματική ηλεκτρονική διεύθυνση, πριν αυτή μπλοκαριστεί, που θα ενημερώνει για την αποχώρηση του εργαζομένου και τα νέα στοιχεία επικοινωνίας του, γ) μπλοκάρισμα της επαγγελματικής ηλεκτρονικής διεύθυνσης το αργότερο κατά την ημέρα αποχώρησης του εργαζομένου, δ) διατήρηση του προαναφερθέντος αυτοματοποιημένου απαντητικού μηνύματος για εύλογο χρονικό διάστημα, ε) διαγραφή της επαγγελματικής ηλεκτρονικής διεύθυνσης.

Καλιφόρνια – Νέα νομοθεσία

Σημαντικές εξελίξεις για την προστασία των προσωπικών δεδομένων στην πολιτεία της Καλιφόρνια φέρνει η υιοθέτηση νέου νόμου, ήτοι του «California Privacy Rights Act». Το νέο νομοθετικό πλαίσιο βρίθει καινοτομιών για τα μέχρι σήμερα ειωθότα στην πολιτεία. Ενδεικτικά, προβλέπονται αυξημένες υποχρεώσεις για την προστασία των ευαίσθητων προσωπικών δεδομένων, π.χ. δεδομένων υγείας, νέα δικαιώματα των πολιτών, όπως το δικαίωμα διόρθωσης των ανακριβών προσωπικών δεδομένων, και νέες αρχές επεξεργασίας, όπως η αρχή της ελαχιστοποίησης των δεδομένων, δηλαδή της επεξεργασίας του μικρότερου δυνατού όγκου προσωπικών δεδομένων. Αξιοσημείωτη είναι επίσης η πρόβλεψη για τη σύσταση εποπτικής αρχής -της «California Privacy Protection Agency»-, η οποία θα έχει την ευθύνη εφαρμογής του. Ο νέος νόμος τίθεται πλήρως σε εφαρμογή την 1 Ιανουαρίου του 2023. Οι καινοτομίες έχουν και ευρωπαϊκό αέρα, καθώς θυμίζουν σε ορισμένα σημεία τον GDPR.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 10/12/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Λειτουργία εποπτικής αρχής

Εν μέσω δεύτερου κύματος κορωνοϊού η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ενημερώνει ότι εξυπηρετεί το κοινό με αυτοπρόσωπη παρουσία μόνο σε επείγουσες περιπτώσεις και υποχρεωτικά κατόπιν ραντεβού. Παρατείνεται επίσης η αναστολή των δημόσιων συνεδριάσεων της Ολομέλειας και του Τμήματος της ΑΠΔΠΧ έως και τις 15.01.2021. Κατά τη διάρκεια της αναστολής οι συνεδριάσεις διεξάγονται μέσω τηλεδιάσκεψης.

Κορωνοϊός

Στο ρυθμιστικό πεδίο, η ΑΠΔΠΧ δημοσίευσε επιτέλους στην ιστοσελίδα της τo πλήρες κείμενο της υπ’ αρ. 5/2020 απόφασής της με τις Κατευθυντήριες Γραμμές της για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο του COVID-19. Με αυτές παρέχονται υποδείξεις για τις υποχρεώσεις δημόσιων και ιδιωτικών φορέων κατά τη λήψη μέτρων  κατά της εξάπλωσης του κορωνοϊού, όπως αυτές απορρέουν από το πλαίσιο προστασίας των προσωπικών δεδομένων. Μεταξύ άλλων, επισημαίνεται τι ισχύει για τις θερμομετρήσεις προσώπων ή για τις συμπληρώσεις ερωτηματολογίων σχετικά με την κατάσταση της υγείας τους. Σημειώνεται ότι οι πληροφορίες για την κατάσταση της υγείας ενός προσώπου, όπως το αν κάποιος νοσεί ή όχι, η κατ’ οίκον παραμονή του λόγω ασθένειας, η διαπίστωση ενδείξεων ασθένειας, αποτελούν ειδική κατηγορία προσωπικών δεδομένων και απολαμβάνουν υψηλού επιπέδου προστασίας.

Δικηγόροι

Ολοκληρώθηκε η διαβούλευση του Κώδικα Δεοντολογίας για την επεξεργασία προσωπικών δεδομένων από δικηγόρους, δικηγορικές εταιρείες και δικηγορικούς συλλόγους, όπως αυτός δημοσιεύθηκε κατόπιν απόφασης της Συντονιστικής Επιτροπής της Ολομέλειας των Προέδρων των Δικηγορικών Συλλόγων της χώρας. Το επόμενο βήμα είναι η έγκρισή του από την ΑΠΔΠΧ. Ο νέος Κώδικας Δεοντολογίας περιέχει ειδικές ρυθμίσεις για σειρά ζητημάτων που απασχολούν τους δικηγόρους, όπως την επαγγελματική προβολή τους και την ενδεχόμενη χρήση δεδομένων των εντολέων τους προς τον σκοπό αυτό, τη χρήση δεδομένων άλλης δικογραφίας σε τρέχουσα υπόθεση, την ενημέρωση αντιδίκων για την επεξεργασία των προσωπικών δεδομένων τους. Άξια μνείας είναι επίσης η πρόβλεψή του για τη σύσταση Επιτροπής Εφαρμογής Κώδικα Δεοντολογίας, η οποία θα είναι αρμόδια ιδίως για την παρακολούθηση της εφαρμογής του. Πρόκειται για κείμενο με μεγάλο ενδιαφέρον για το σύνολο των πολιτών, των οποίων, άλλωστε, τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, όταν εμπλέκονται σε υπόθεση με νομικό ενδιαφέρον.

Κύπρος – Διαγωνισμός ζωγραφικής

Εξαιρετικά πρωτότυπη είναι η τρέχουσα διοργάνωση από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου διαγωνισμού ζωγραφικής, σε συνεργασία με το κυπριακό Υπουργείο Παιδείας, Πολιτισμού, Αθλητισμού και Νεολαίας. Ο διαγωνισμός απευθύνεται σε μαθητές και μαθήτριες δημόσιων και ιδιωτικών σχολείων γενικής και επαγγελματικής εκπαίδευσης και κατάρτισης. Θέμα του είναι η «Προστασίας Προσωπικών Δεδομένων στη Σχολική Μονάδα». Το έργο που θα επιλεγεί ενδέχεται να χρησιμοποιηθεί ως εξώφυλλο για την Ετήσια Έκθεση του Γραφείου Επιτρόπου, καθώς και για ενημερωτικές δράσεις προβολής και προώθησης του. Παράλληλα, για τον νικητή θα υπάρξει και χρηματικό έπαθλο. Έξυπνη δράση ευαισθητοποίησης του κοινού που μπορεί να αποτελέσει πηγή έμπνευσης και για την ελληνική πολιτεία.

Ιταλία – Επιθετικές προωθητικές ενέργειες

Πρόστιμο περίπου 12.250.000 ευρώ επέβαλε η ιταλική Αρχή Προστασίας Δεδομένων σε μεγάλη εταιρεία κινητής τηλεφωνίας για παράνομη επεξεργασία προσωπικών δεδομένων στο πλαίσιο προωθητικών ενεργειών. Στο πλαίσιο της υπόθεσης, εκατοντάδες άτομα είχαν υποβάλει καταγγελίες για ανεπιθύμητες τηλεφωνικές κλήσεις από την εταιρεία κινητής τηλεφωνίας και το προωθητικό δίκτυό της, με περιεχόμενο την προώθηση τηλεφωνικών και διαδικτυακών υπηρεσιών. Μεταξύ άλλων ευρημάτων της εποπτικής αρχής, αίσθηση προκάλεσε η απόκτηση και χρήση από την εταιρεία κινητής τηλεφωνίας λιστών με στοιχεία επικοινωνίας, χωρίς τη συγκατάθεση των εμπλεκόμενων προσώπων, καθώς και η χρήση τηλεφωνικών αριθμών για τις προωθητικές ενέργειες που εμφανίζονταν ως ανύπαρκτοι στο οικείο μητρώο. Μαθήματα προς αποτροπή, λοιπόν, για τους τυχόν εγχώριους μιμητές, που έχουν ήδη δεχθεί κατά το παρελθόν βαριές καμπάνες από την ΑΠΔΠΧ.

Κίνα – Νέα νομοθεσία

Τις διεθνείς εξελίξεις φαίνεται ότι σπεύδει να προλάβει η Κίνα παρουσιάζοντας το πρώτο σχέδιο πλήρους νομοθετικού κειμένου της χώρας για την προστασία των προσωπικών δεδομένων. Το γεγονός αποτελεί είδηση, δεδομένου ότι η Κίνα έχει απασχολήσει για την ευρεία επεξεργασία προσωπικών δεδομένων των πολιτών της, ιδίως για την εγκατάσταση σε ευρεία κλίματα συστημάτων βιντεοεπιτήρησης. Τα προβλεπόμενα πρόστιμα για παραβίαση των ρυθμίσεών της νέας νομοθεσίας είναι βαριά και μπορούν να φθάσουν περίπου μέχρι τα 6 εκατομμύρια ευρώ ή το 5% του κύκλου εργασιών του προηγούμενου έτους. Η διεθνής κινητικότητα στο πεδίο της ρύθμισης της προστασίας των προσωπικών δεδομένων εντείνεται.