Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 2/09/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Δ.Δ.Η.Ε. – Μέσα κοινωνικής δικτύωσης

Για παραβίαση λογαριασμών σε μέσα κοινωνικής δικτύωσης ενημερώνει τους πολίτες η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Όπως επισημαίνεται, σε αυτήν καταγγέλθηκαν κατά την περίοδο του καλοκαιριού περιπτώσεις αλίευσης των στοιχείων εισόδου, με πρόσχημα την επίσημη πιστοποίηση των λογαριασμών («verify account – bluetick»). Ειδικότερα, οι δράστες αποστέλλουν άμεσο μήνυμα στο οποίο αναφέρουν ότι προκειμένου να ολοκληρωθεί η διαδικασία πιστοποίησης του εκάστοτε λογαριασμού, ο χρήστης πρέπει να επισκεφθεί την ιστοσελίδα που του υποδεικνύεται. Επισκεπτόμενος την εν λόγω ιστοσελίδα, αυτός καλείται στη συνέχεια να συμπληρώσει τα στοιχεία εισόδου του στον λογαριασμό. Έτσι όμως, οι δράστες αποκτούν τα στοιχεία εισόδου του χρήστη και πρόσβαση στον λογαριασμό του. Ακολούθως, αποστέλλουν εκβιαστικά μηνύματα προκειμένου να ζητήσουν χρηματικό ποσό για την επιστροφή του λογαριασμού στον κάτοχό του.

Γερμανία – «Zoom τέλος;»

Προσκόμματα στη χρήση της γνωστής εφαρμογής – υπηρεσίας τηλεδιάσκεψης «Zoom» από τις τοπικές αρχές φαίνεται ότι βάζει η Αρχή Προστασίας Δεδομένων του Αμβούργου. Σε προειδοποίηση που απευθύνει υποστηρίζει ότι η χρήση του «Zoom» παραβιάζει το προστατευτικό πλαίσιο, δεδομένου ότι συνεπάγεται τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, όπου εδρεύει η εταιρεία. Όπως υπογραμμίζεται, το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε στην υπόθεση C-311/18, γνωστή και ως υπόθεση «Schrems II», τον Ιούλιο του 2020 ότι η διαβίβαση προσωπικών δεδομένων σαν την επίμαχη επιτρέπεται μόνο υπό αυστηρές προϋποθέσεις. Και αυτό εξαιτίας της ευρείας δυνατότητας που διαθέτουν οι αμερικάνικες δημόσιες αρχές για πρόσβαση στα εν λόγω δεδομένα, η οποία δεν περιορίζεται στο απολύτως αναγκαίο. Κατά την εποπτική αρχή, οι ως άνω αυστηρές προϋποθέσεις δεν συνέτρεχαν εν προκειμένω.

Η.Π.Α. – Λυτρισμικό

Ενημερωτικό δελτίο για την αντιμετώπιση του διογκώμενου προβλήματος του λυτρισμικού εξέδωσε η εθνική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας των Υποδομών. Υπενθυμίζεται ότι το λυτρισμικό αποτελεί κακόβουλο λογισμικό το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση («ransomware»). Μεταξύ των πολλών χρήσιμων πληροφοριών που παρέχονται, αναδεικνύεται η πρωτοβουλία της κυβέρνησης για τη δημιουργία ειδικής ιστοσελίδας «Στοπ στο Λυτρισμικό» («StopRansomware.gov») με σχετικές ειδήσεις, πηγές, οδηγούς και ειδοποιήσεις. Κατά το δελτίο, για την αντιμετώπιση των ως άνω επιθέσεων, κρίσιμη θεωρείται ιδίως η ύπαρξη αντίγραφου ασφαλείας των δεδομένων («backup») και σχεδίου αντιμετώπισης «κυβερνοπεριστατικών».

Κίνα – Νέα νομοθεσία

Πραγματικότητα αποτελεί πλέον ο νέος νόμος για την προστασία των προσωπικών δεδομένων στην Κίνα, με χρονικό σημείο έναρξης εφαρμογής του την 1^η Νοεμβρίου. Με την υιοθέτησή του η Κίνα εντάσσεται στην οικογένεια των κρατών με πλήρες νομοθετικό πλαίσιο στον εν λόγω τομέα. Πρόκειται για εκτενές νομοθετικό κείμενο 74 άρθρων στο οποίο, μεταξύ άλλων, ρυθμίζονται το επιτρεπτό της επεξεργασίας απλών και ευαίσθητων προσωπικών δεδομένων, η σχετική δραστηριότητα κρατικών υπηρεσιών, η διαβίβαση προσωπικών δεδομένων, τα δικαιώματα των πολιτών και οι κυρώσεις σε περίπτωση παραβίασης των διατάξεών του. Οι εισαγόμενες ρυθμίσεις παρουσιάζουν σε σημεία τους ομοιότητες με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως «GDPR».

Ολλανδία – Τραπεζικές απάτες

Άδεια αποφάσισε να χορηγήσει η εθνική Αρχή Προστασίας Δεδομένων σε περισσότερα από 160 χρηματοπιστωτικά ιδρύματα για την εγγραφή σε βάση δεδομένων των στοιχείων δραστών απάτης και τον διαμοιρασμό αυτών μεταξύ τους. Όπως σημειώνεται, οι δράστες απάτης είναι συνήθως ενεργοί σε περισσότερα του ενός χρηματοπιστωτικά ιδρύματα. Με το εισαγόμενο σύστημα, λοιπόν, τα τραπεζικά και ασφαλιστικά ιδρύματα μπορούν να προειδοποιούν το ένα το άλλο μέσω της ανταλλαγής των δεδομένων. Η ανταλλαγή θα μπορεί να λαμβάνει χώρα μόνο εφόσον τηρούνται οι κανόνες που έχουν τεθεί στο ειδικό πρωτόκολλο που τη διέπει. Κάθε χρηματοπιστωτικό ίδρυμα θα τηρεί τη δική του βάση δεδομένων, λαμβανομένου υπόψη ότι δεν προβλέπεται η λειτουργία της σε κεντρικό επίπεδο.

Ο.Η.Ε. – Τεχνολογία παρακολούθησης

Εμπειρογνώμονες των Ειδικών Διαδικασιών του Συμβουλίου Ανθρωπίνων Δικαιωμάτων του Οργανισμού Ηνωμένων Εθνών απηύθυναν κάλεσμα για την επιβολή ενός «παγώματος» σε παγκόσμιο επίπεδο στην πώληση και μεταφορά τεχνολογίας παρακολούθησης. Στόχος του προτεινόμενου μορατόριουμ αποτελεί η υιοθέτηση, κατά τη διάρκεια ισχύος του, ενός επαρκούς ρυθμιστικού πλαισίου που θα διασφαλίζει τη σύμφωνη με τα ανθρώπινα δικαιώματα χρήση της εν λόγω τεχνολογίας. Οι εμπειρογνώμονες τονίζουν ότι το δίκαιο των ανθρωπίνων δικαιωμάτων επιβάλλει σε όλα τα κράτη την υιοθέτηση νομικών εγγυήσεων σε εθνικό επίπεδο για την προστασία των πολιτών από παράνομες παρακολουθήσεις, προσβολές της ιδιωτικότητάς τους, καθώς και απειλές στην ελευθερία έκφρασης, ελευθερία του συνέρχεσθαι και του συνεταιρίζεσθαι.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 17/08/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Τηλεργασία

Κατευθυντήριες γραμμές για την επεξεργασία προσωπικών δεδομένων που πραγματοποιείται κατά την παροχή εξ αποστάσεως εργασίας, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα, εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η πρωτοβουλία εκδηλώθηκε δεδομένης της έντασης και της έκτασης την οποία έχει λάβει η τηλεργασία, όπως και των σχετικών κινδύνων που ελλοχεύουν ιδίως για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων. Σε αυτές επισημαίνεται ότι η τηλεργασία συνεπάγεται μεγαλύτερη διείσδυση στον ιδιωτικό χώρο και χρόνο, διαμορφώνοντας μια κουλτούρα διαρκούς παρουσίας και μόνιμης επιφυλακής των εργαζομένων. Επιπροσθέτως, υπογραμμίζεται ότι η εν λόγω κουλτούρα έχει αρνητικό αντίκτυπο στην ισορροπία μεταξύ επαγγελματικής και προσωπικής ζωής.

Κύπρος – Φίλαθλοι

Στην έκδοση προσωρινών αποφάσεων για δύο ποδοσφαιρικές ομάδες, με τις οποίες διαπιστώνονται παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένου, γνωστού ως «GDPR», προέβη το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Οι εν λόγω παραβιάσεις πήγαζαν από κενό ασφαλείας στις ιστοσελίδες των ομάδων, το οποίο είχε ως αποτέλεσμα μη εξουσιοδοτημένος επισκέπτης να μπορεί να ανακτά από αυτές προσωπικά δεδομένα φιλάθλων με αγορασμένα εισιτήρια παρακολούθησης αγώνων κατά τον κρίσιμο χρονικό διάστημα. Με τα εν λόγω δεδομένα, μάλιστα, ήταν εφικτή η σε δεύτερο χρόνο πρόσβαση στις αντίστοιχες κάρτες φιλάθλων. Με τις προσωρινές αποφάσεις έχουν ζητηθεί οι θέσεις των εμπλεκομένων, ήτοι των ως άνω ποδοσφαιρικών σωματείων και της αναδόχου εταιρείας που ανέπτυξε τα συστήματα διαδικτυακής πώλησης εισιτηρίων, ώστε να ακολουθήσει η έκδοση των τελικών αποφάσεων.

Ιταλία – Καλοκαιρινές διακοπές

Συμβουλές για την προστασία των προσωπικών δεδομένων κατά τη διάρκεια των καλοκαιρινών διακοπών δημοσίευσε η εθνική Αρχή Προστασίας Δεδομένων. Ιδιαίτερο ενδιαφέρον έχει η παρατήρηση ότι οι «διαρρήκτες των κοινωνικών δικτύων» δεν βρίσκονται ποτέ σε διακοπές. Επομένως, η ανάρτηση σχετικών πληροφοριών για την απουσία σας στα μέσα κοινωνικής δικτύωσης μπορεί να καταστήσει γνωστό σε κακόβουλους ότι η οικία σας είναι κενή, με αποτέλεσμα να την «επισκεφθούν». Χρήσιμη είναι επίσης η παρεχόμενη συμβουλή για τη δημιουργίας αντιγράφου ασφαλείας των προσωπικών δεδομένων που είναι αποθηκευμένα σε φορητές συσκευές, όπως σε έξυπνο κινητό τηλέφωνο, προ της καλοκαιρινής εξόδου, ώστε η τυχόν κλοπή ή απώλειά τους να είναι διαχειρίσιμη.

Κίνα – Νέα νομοθεσία

Το σχέδιο νόμου για την προστασία των προσωπικών δεδομένων, το οποίο ακολουθεί πορεία υιοθέτησης, βρίσκεται για τρίτη φορά ενώπιον της Διαρκούς Επιτροπής της Εθνικής Λαϊκής Συνέλευσης -νομοθετικό όργανο- με σκοπό την περαιτέρω βελτίωσή του. Υπενθυμίζεται ότι η δεύτερη εξέτασή του είχε λάβει χώρα τον περασμένο Απρίλιο. Μεταξύ των προτεινόμενων αλλαγών περιλαμβάνονται η υιοθέτηση στοχευμένων ρυθμίσεων για την υπερβολική συλλογή προσωπικών δεδομένων από εφαρμογές και τα «μεγάλα δεδομένα» («big data»), η αντιμετώπιση των προσωπικών δεδομένων των ανηλίκων μικρότερων των 14 ετών ως ευαίσθητων δεδομένων, η διασφάλιση επαρκούς επιπέδου προστασίας κατά τη διαβίβαση προσωπικών δεδομένων εκτός Κίνας αναφορικά με τη χώρα όπου αυτά διαβιβάζονται και  η ενίσχυση της προστασίας των δεδομένων θανόντων.

Φιλιππίνες – Διεθνή πρότυπα

Στην υιοθέτηση διεθνών προτύπων παροτρύνει οργανισμούς και οντότητες στον ιδιωτικό και δημόσιο τομέα η εθνική Αρχή Προστασίας Δεδομένων, με σκοπό την ασφάλεια των προσωπικών δεδομένων. Τα εν λόγω διεθνή πρότυπα αφορούν το πλαίσιο ιδιωτικότητας, την εφαρμογή ελέγχων προστασίας προσωπικών δεδομένων, τη διαχείριση πληροφοριών ταυτότητας και κατευθυντήριες γραμμές για εκτιμήσεις αντικτύπου. Πρόκειται ειδικότερα για τα ISO/IEC/29100, ISO/IEC 29151, ISO/IEC/24760 και ISO/IEC 29134. Υπενθυμίζεται ότι η εκτίμηση αντικτύπου αποτελεί ειδική έκθεση που εκπονείται ιδίως για επεξεργασίες προσωπικών δεδομένων ενδεχόμενου υψηλού κινδύνου, ώστε να εντοπισθούν σχετικά προβλήματα και κίνδυνοι, καθώς και να επιλεγούν τα καταλληλότερα μέτρα για την αντιμετώπισή τους. Κατ’ αυτό τον τρόπο προλαμβάνονται σοβαρές αστοχίες.

EUROPOL – Κορωνοϊός

Εγκληματική οργάνωση που διέπραττε απάτες μέσω της δήθεν διάθεσης προστατευτικού υλικού για τον κορωνοϊό εξάρθρωσε σε πρόσφατη επιχείρησή της η EUROPOL. Οι δράστες είχαν δημιουργήσει ηλεκτρονικές διευθύνσεις και ιστοσελίδες που ομοίαζαν εξαιρετικά με τις αντίστοιχες νόμιμων επιχειρήσεων. Προσποιούμενοι τους εκπροσώπους των εν λόγω εταιρειών, έπειθαν τα θύματά τους να προβούν σε σχετικές παραγγελίες υλικού, ζητώντας μάλιστα την προπληρωμή τους. Παρά την πραγματοποίηση των σχετικών χρηματικών καταβολών από τους εξαπατηθέντες, ουδέποτε προέβαιναν στην αποστολή οποιουδήποτε προϊόντος. Τα δε καταβληθέντα χρήματα κατέληγαν σε τραπεζικούς λογαριασμούς στη Ρουμανία, όπου στη συνέχεια γινόταν ανάληψη αυτών μέσω αυτόματων μηχανημάτων ανάληψης μετρητών («ATMs»). Η εξάρθρωση ήταν αποτέλεσμα επιχείρησης που εκδηλώθηκε ταυτόχρονα στην Ολλανδία, τη Ρουμανία και την Ιρλανδία.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 5/08/2021

Α.Π.Δ.Π.Χ. – Ανήλικο τέκνο

Πρόστιμο ύψους 5.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε ιατρό για τη μη ικανοποίηση του δικαιώματος πρόσβασης πατέρα στα δεδομένα του ανηλίκου τέκνου του. Τα τελευταία η ιατρός φέρεται ότι δεχόταν να τα χορηγήσει μόνο στην εν διαστάσει σύζυγο αυτού και μητέρα του τέκνου. Εν προκειμένω, η ΑΠΔΠΧ έκρινε ότι ο πατέρας είχε δικαίωμα πρόσβασης στα προσωπικά δεδομένα του ανηλίκου τέκνου του. Μεταξύ των ισχυρισμών της ιατρού που δεν έγιναν δεκτοί, άξια μνείας είναι η επίκληση της μη εξοικείωσής της στο χειρισμό ηλεκτρονικών μέσων επικοινωνίας, με αποτέλεσμα την αδυναμία της, κατά τα λεγόμενά της, να προβεί σε αποστολή των επίμαχων προσωπικών δεδομένων μέσω ηλεκτρονικής αλληλογραφίας.

Κύπρος – Βουλευτικές εκλογές

Πλούσια σε παραβάσεις στο πεδίο της πολιτικής επικοινωνίας φαίνεται πως ήταν η προεκλογική περίοδος στην Κύπρο για τις βουλευτικές εκλογές του περασμένου Μαΐου. Σε σχετική ανακοίνωσή του, το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επισημαίνει ότι κατά το ως άνω χρονικό διάστημα υποβλήθηκαν 65 παράπονα για τη λήψη ανεπιθύμητων μηνυμάτων, ηλεκτρονικής αλληλογραφίας ή τηλεφωνικών κλήσεων σχετικά με την προώθηση πολιτικών θέσεων και υποψηφιοτήτων. Εξ αυτών, για 25 παράπονα επιβλήθηκε η διοικητική κύρωση της προειδοποίησης και για 16 παράπονα επιβλήθηκαν διοικητικά πρόστιμα συνολικού ύψους 23.500 ευρώ. Για 18 δε παράπονα δεν επιβλήθηκε ουδεμία κύρωση για ποικίλους λόγους. Εκκρεμεί ακόμη η έκδοση αποφάσεων για 9 παράπονα, τα οποία αφορούν 2 υποψηφίους.

Γαλλία – «Φακελώματα»

Η συλλογή προσωπικών δεδομένων πλήθους προσώπων προκειμένου αυτά να χρησιμοποιηθούν για την άσκηση παρασκηνιακής πίεσης -το γνωστό λόμπινγκ- διέπεται προφανώς από το ισχύον προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Αυτό φαίνεται ότι αγνοούσε εταιρεία η οποία τηρούσε σχετικό αρχείο για περισσότερα από 200 πρόσωπα, στα οποία συμπεριλαμβάνονταν πολιτικοί και δημοσιογράφοι, ικανά να ασκήσουν επιρροή για την προώθηση των συμφερόντων της. Τα προσωπικά δεδομένα που συλλέχθηκαν αφορούσαν τη θέση και τη διεύθυνση εργασίας των εμπλεκομένων, αριθμούς τηλεφώνων, ηλεκτρονικές διευθύνσεις κ.α. Περαιτέρω, τα εν λόγω πρόσωπα βαθμολογούνταν σύμφωνα με διάφορα κριτήρια, ώστε να αξιολογείται ιδίως η δυνατότητα επιρροής τους. Η βασική παράβαση που διαπιστώθηκε ήταν η μη ενημέρωση των υποκειμένων των δεδομένων για τα ως άνω από την εταιρεία, με αποτέλεσμα να της επιβληθεί πρόστιμο ύψους 400.000 ευρώ.

Λουξεμβούργο – Πρωτοφανές πρόστιμο

Αντιμέτωπος με «καμπάνα» πλησίον του 1 δις ευρώ (746 εκ. ευρώ) βρίσκεται ο τεχνολογικός κολοσσός «Amazon» για παραβάσεις της νομοθεσίας περί προσωπικών δεδομένων. Παρά το ότι η επιβολή του προστίμου δεν έχει ανακοινωθεί ακόμη επισήμως από την εθνική Αρχή Προστασίας Δεδομένων, σε σχετική δήλωση προέβη η oμάδα υπεράσπισης ψηφιακών δικαιωμάτων και ελευθεριών που υπέβαλε τον Μάιο του 2018 την καταγγελία, η οποία έγινε δεκτή. Πρόκειται για το υψηλότερο πρόστιμο που επιβάλλεται στα περισσότερα από τρία έτη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως «GDPR».

Ολλανδία – «Lingua franca;»

Το σφάλμα της να χρησιμοποιήσει αποκλειστικά τη «lingua franca» της εποχής μας -την αγγλική γλώσσα- για τη σύνταξη της Πολιτικής Προστασίας Προσωπικών Δεδομένων της καλείται να πληρώσει η γνωστή εφαρμογή TikTok για το διαμοιρασμό μικρών βίντεο, κατόπιν της επιβολής προστίμου ύψους 750.000 ευρώ. Όπως έκρινε η εθνική Αρχή Προστασίας Δεδομένων, το TikTok όφειλε να παρέχει το κείμενο στα ολλανδικά, ώστε να γίνεται ευχερώς κατανοητό από τους τοπικούς χρήστες, πολλοί εκ των οποίων είναι ανήλικοι. Σημειώνεται ότι με την Πολιτική Προστασίας του εκάστοτε φορέα ο χρήστης μπορεί να ενημερωθεί για την επεξεργασία των προσωπικών δεδομένων του από αυτόν.

Ο.Η.Ε. – Παρακολουθήσεις

Ως εξαιρετικά ανησυχητικές και επιβεβαίωση ορισμένων από τους χειρότερους φόβους χαρακτηρίστηκαν από την Ύπατη Αρμοστή του Οργανισμού Ηνωμένων Εθνών (ΟΗΕ) για τα Δικαιώματα του Ανθρώπου Μισέλ Μπατσελέτ οι αποκαλύψεις ως προς την εκτενή χρήση του κατασκοπευτικού λογισμικού «Πήγασος». Σκοπός αυτής ήταν οι παρακολουθήσεις, μεταξύ άλλων, πολιτικών και δημοσιογράφων σε διάφορες χώρες. Όπως υπογραμμίζεται στη δήλωση, αναγκαία και αναλογικά μέτρα παρακολούθησης μπορούν να δικαιολογηθούν μόνο σε στενά καθορισμένες περιστάσεις και για ένα νόμιμο σκοπό. Σε αυτό το πλαίσιο, ένα λογισμικό με τις δυνατότητες του «Πήγασος» θα μπορούσε νομίμως να χρησιμοποιηθεί μόνο στο πλαίσιο ερευνών για σοβαρά εγκλήματα και σημαντικές απειλές ασφαλείας. Υπενθυμίζεται ότι, σύμφωνα με πρόσφατες αποκαλύψεις, το λογισμικό «Πήγασος», το οποίο διαθέτει ιδιωτική εταιρεία, φαίνεται ότι χρησιμοποιήθηκε ευρύτατα από πλήθος πελατών της για την παρακολούθηση «έξυπνων» κινητών τηλεφώνων ατόμων, κατά παράβαση του ως άνω πλαισίου.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 22/07/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ενημερωτικό δελτίο

Προ ολίγων ημερών αναρτήθηκε στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) το 33^ο τεύχος του ενημερωτικού δελτίου της. Πρόκειται για μια τακτική πηγή περιεκτικής πληροφόρησης, στην οποία εκτίθεται περιοδικά το έργο της εποπτικής αρχής. Περιέχει σύνοψη των τελευταίων αποφάσεων της, ευρωπαϊκά νέα, παρουσίαση της σχετικής επικαιρότητας, στατιστικά στοιχεία, πρόσφατες δημοσιεύσεις και εκδηλώσεις. Όπως υπογραμμίζεται, κατά την περίοδο από τις 22 Απριλίου έως τις 12 Ιουλίου η ΑΠΔΠΧ έλαβε 278 καταγγελίες για παραβάσεις του πλαισίου προστασίας των προσωπικών δεδομένων, ήτοι κατά μέσο όρο πάνω από 3 καταγγελίες την ημέρα. Κατά την ίδια περίοδο, γνωστοποιήθηκαν στην ελληνική εποπτική αρχή 59 περιστατικά παραβίασης προσωπικών δεδομένων.

Κυβερνοασφάλεια – Απομακρυσμένη εργασία

Εγχειρίδιο κυβερνοασφάλειας με βέλτιστες πρακτικές για την προστασία και την ανθεκτικότητα των πληροφοριακών συστημάτων εκπόνησε και δημοσίευσε πρόσφατα η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) του Υπουργείου Ψηφιακής Διακυβέρνησης. Το εγχειρίδιο διατίθεται δωρεάν στην ιστοσελίδα της ΕΑΚ για τους οργανισμούς του δημοσίου τομέα, καθώς και τις μεσαίες και μεγάλες ιδιωτικές επιχειρήσεις. Σκοπός του είναι η ενίσχυση της προστασίας τους από τις συνεχώς εξελισσόμενες απειλές του κυβερνοχώρου. Ειδικό κεφάλαιο περιλαμβάνεται για την απομακρυσμένη εργασία, όπου επισημαίνεται ότι το σχετικό μοντέλο εργασίας κατά την πανδημία φαίνεται ότι θα παραμείνει σε μεγάλο βαθμό και μετά το τέλος αυτής. Έτσι, προσδιορίζονται οι νέοι κίνδυνοι που δημιουργούνται και προτείνονται μέτρα προστασίας τόσο για τους φορείς όσο και για τους τηλεργαζόμενους.

Ηνωμένο Βασίλειο – Υπουργική αλληλογραφία

Έρευνα για την τυχόν χρήση ιδιωτικών καναλιών επικοινωνίας στο Υπουργείο Υγείας και Κοινωνικής Φροντίδας του Ηνωμένου Βασιλείου εκκίνησε η Αρχή Προστασίας Δεδομένων της χώρας. Όπως ανακοινώθηκε, οι κατηγορίες για τη χρήση από υπουργούς και ανώτατους κρατικούς αξιωματούχους ιδιωτικών λογαριασμών ηλεκτρονικής αλληλογραφίας και προσωπικών εφαρμογών ανταλλαγής μηνυμάτων στο πλαίσιο άσκησης ευαίσθητων κρατικών καθηκόντων προκάλεσαν ανησυχία. Και αυτό γιατί γεννώνται ζητήματα ασφάλειας προσωπικών δεδομένων, αλλά και δημιουργούνται κίνδυνοι μη διατήρησης επίσημων αρχείων αναφορικά με τη διαδικασία λήψης αποφάσεων. Οι εν λόγω κίνδυνοι θέτουν μάλιστα το ζήτημα ενδεχόμενης απουσίας διαφάνειας σε μια εξαιρετικά κρίσιμη περίοδο για τους πολίτες. Τα αποτελέσματα της οικείας έρευνας αναμένονται εν ευθέτω χρόνω.

Κολοράντο – Νέα νομοθεσία

Τρίτη πολιτεία των ΗΠΑ που υιοθετεί εκτενές νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων γίνεται το Κολοράντο, μετά την Καλιφόρνια και τη Βιρτζίνια. Η νέα νομοθεσία εφαρμόζεται σε οντότητες που δραστηριοποιούνται επιχειρηματικά ή παράγουν/προσφέρουν εμπορικά προϊόντα/υπηρεσίες τα οποία απευθύνονται σε κατοίκους του Κολοράντο. Περαιτέρω, πρέπει να λαμβάνει χώρα επεξεργασία προσωπικών δεδομένων τουλάχιστον 100.000 καταναλωτών κατά τη διάρκεια ενός ημερολογιακού έτους από την εκάστοτε οντότητα ή αυτή να αποκομίζει έσοδα/λαμβάνει εκπτώσεις από την πώληση προσωπικών δεδομένων και να επεξεργάζεται προσωπικά δεδομένα τουλάχιστον 25.000 καταναλωτών. Οι τελευταίοι οπλίζονται με σειρά δικαιωμάτων, όπως το δικαίωμα πρόσβασης στα προσωπικά δεδομένα τους, το δικαίωμα διόρθωσης και το δικαίωμα διαγραφής.

Πορτογαλία – Διαδηλώσεις

Τα προσωπικά δεδομένα προσώπων που οργάνωναν διαδηλώσεις φέρεται να διαβίβαζε παρανόμως σε τρίτους ο Δήμος της Λισαβόνας, όπως καταρχάς διαπίστωσε η εθνική Αρχή Προστασίας Δεδομένων. Δεδομένου ότι οι οργανωτές διαδηλώσεων υπέβαλαν τα στοιχεία τους στο Δήμο, προκειμένου αυτές να πραγματοποιηθούν, ο τελευταίος φέρεται να τα διαβίβαζε με τη σειρά του σε διπλωματικές αντιπροσωπείες και αλλοδαπές αρχές που ενδιαφέρονταν. Όπως όμως διαπίστωσε η εποπτική αρχή, το σχετικό νομοθετικό πλαίσιο επιτρέπει τη γνωστοποίηση πληροφοριών σχετικά με το αντικείμενο, την ημερομηνία, το χρόνο, τον τόπο και την πορεία της διαδήλωσης, όχι όμως και τη διαβίβαση προσωπικών δεδομένων. Τα τελευταία μάλιστα θεωρούνται εξαιρετικά ευαίσθητα, καθώς αποκαλύπτουν πολιτικές, φιλοσοφικές ή θρησκευτικές απόψεις και πεποιθήσεις. Η έκδοση της οριστικής απόφασης αναμένεται.

INTERPOL– Λυτρισμικό

Την αναγκαιότητα οι αστυνομικές αρχές ανά τον κόσμο να δημιουργήσουν έναν παγκόσμιο συνασπισμό με εταίρους του κλάδου, ώστε να αποτρέψουν μια ενδεχόμενη πανδημία επιθέσεων λυτρισμικού τονίζει ο Γενικός Γραμματέας της INTERPOL Jürgen Stock. Υπενθυμίζεται ότι το λυτρισμικό αποτελεί κακόβουλο λογισμικό το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση («ransomware»). Κατά τον Γενικό Γραμματέα, το μέγεθος της απειλής είναι τέτοιο, ώστε απαιτείται πλέον διεθνής συνεργασία, όπως αυτή που εκδηλώνεται για την αντιμετώπιση της τρομοκρατίας ή της μαφίας. Όπως, κατέδειξε σχετική έρευνα, κατά το 2020 οι εγκληματίες απεκόμισαν 350 εκ. δολάρια από πληρωμές λόγω επίθεσης λυτρισμικού. Πρόκειται για ετήσια αύξηση σε ποσοστό 311%.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 8/07/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Δ.Δ.Η.Ε. – «Ερωτικές απάτες»

Για προσπάθεια οικονομικής εξαπάτησης των πολιτών μέσω της αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου εκβιαστικού περιεχομένου ενημερώνει η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Άγνωστοι δράστες στέλνουν μαζικά μηνύματα σε διάφορους αποδέκτες, ανεξαρτήτως φύλου και ηλικίας, στα οποία αναφέρουν, μεταξύ άλλων, ότι μέσω εγκατάστασης κακόβουλου λογισμικού η κάμερα της συσκευής του θύματος έχει δήθεν ενεργοποιηθεί, με αποτέλεσμα αυτό να έχει καταγραφεί σε προσωπικές στιγμές του. Οι δράστες ισχυρίζονται επίσης ότι έχουν συλλέξει όλες τις επαφές του θύματος από τα μέσα κοινωνικής δικτύωσης και τον λογαριασμό ηλεκτρονικού ταχυδρομείου του, στις οποίες προτίθενται να προωθήσουν το υποτιθέμενο υλικό ερωτικού περιεχομένου, εκτός αν τους καταβληθούν χρήματα. Πρόκειται για το λεγόμενο «sextortionscam». Η ΔΔΗΕ παρέχει σειρά συμβουλών, τονίζοντας ότι τα σχετικά μηνύματα πρέπει να αγνοούνται.

Ηνωμένο Βασίλειο – Κινητά τηλέφωνα

Στο έργο της για τη βελτίωση των πρακτικών εξαγωγής προσωπικών δεδομένων από κινητά τηλέφωνα κατά τη λειτουργία του συστήματος ποινικής δικαιοσύνης στο Ηνωμένο Βασίλειο αναφέρθηκε σε πρόσφατη ανάρτησή της η αρμόδια Επίτροπος της χώρας Ελίζαμπεθ Ντένχαμ. Όπως σημείωσε, στις ημέρες μας τεράστιος όγκος προσωπικών δεδομένων αποθηκεύεται στα κινητά τηλέφωνα. Τα εν λόγω δεδομένα αφορούν, μεταξύ άλλων, τις πιο προσωπικές σκέψεις μας, τα συναισθήματα και τις μετακινήσεις μας, όχι μόνο ημών αλλά και φίλων, καθώς και της οικογένειάς μας. Πρόκειται για «αποθήκες της καθημερινής ζωής μας». Κατά την Επίτροπο, αναγκαία είναι η υιοθέτηση σχετικού Κώδικα Ορθής Πρακτικής και στη συνέχεια η εφαρμογή του, ιδίως από τις αστυνομικές αρχές.

Ιταλία – «Δημαρχικό πρόστιμο»

Ούτε και ο Δήμαρχος της Μεσσήνης στην Ιταλία δεν μπόρεσε να αποφύγει τη δαγκάνα της Αρχής Προστασίας Δεδομένων της χώρας, η οποία του επέβαλε πρόστιμο 50.000 ευρώ. Ο Δήμαρχος προέβη κατ’ επανάληψη σε αναρτήσεις φωτογραφιών και βίντεο με πρόσωπα στη σελίδα του στο «Facebook». Τα ως άνω πρόσωπα ήταν σε ορισμένες περιπτώσεις ανήλικα ή βρίσκονταν σε οικονομική και κοινωνική δυσχέρεια, χαρακτηρίζονταν δε ενίοτε στις αναρτήσεις ως εγκληματίες. Το εν λόγω υλικό περιλάμβανε π.χ. ανήλικο που ρύπαινε δρόμο, καθώς και αστέγους οι οποίοι κοιμόντουσαν έξω από δημόσιο κτήριο. Κατά την εποπτική αρχή, οι επίμαχες αναρτήσεις δεν δικαιολογούνταν από σκοπούς δημοσίου συμφέροντος και παραβίαζαν θεμελιώδεις αρχές του προστατευτικού πλαισίου των προσωπικών δεδομένων.

Νορβηγία – Ηλεκτρονικό ταχυδρομείο

Πρόστιμο ύψους περίπου 15.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Νορβηγίας σε επιχείρηση για παράνομη πρόσβαση στο λογαριασμό ηλεκτρονικού ταχυδρομείου πρώην εργαζομένου. Ο διαχειριστής της επιχείρησης είχε προβεί σε μεταβολή του κωδικού πρόσβασης του εν λόγω λογαριασμού και συνδεόταν με αυτόν σε ημερήσια βάση για περίοδο έξι εβδομάδων κατόπιν του πέρατος της εργασιακής σχέσης του υπαλλήλου. Ήδη όμως και προ της λήξης της απασχόλησης του εργαζομένου, ο διαχειριστής της επιχείρησης είχε πρόσβαση στο ηλεκτρονικό ταχυδρομείο αυτού για μεγάλο χρονικό διάστημα. Όλες οι ως άνω ενέργειες κρίθηκε ότι δεν μπορούσαν να δικαιολογηθούν ιδίως υπό το πρίσμα των αναγκών της επιχείρησης και κατ’ επέκταση ότι ήταν παράνομες.

Ρωσία – «Τοπικοποίηση δεδομένων»

Την αποτυχία των «Facebook», «WhatsApp» και «Twitter» να αποδείξουν ότι τα προσωπικά δεδομένα των Ρώσων χρηστών τους τυγχάνουν επεξεργασίας και αποθηκεύονται αποκλειστικά σε βάσεις δεδομένων εντός της Ρωσίας, σύμφωνα με τον ισχύοντα κανόνα της «τοπικοποίησης δεδομένων» («data localization»), ανακοίνωσε η αρμόδια εποπτική αρχή της Ρωσίας. Όπως σημειώνεται, οι εν λόγω εταιρείες κλήθηκαν να προσκομίσουν σχετική τεκμηρίωση, χωρίς όμως αυτές να το πράξουν έγκαιρα. Κατά τα υποστηριζόμενα από τη ρωσική πλευρά, ο εν λόγω κανόνας έχει τεθεί, προκειμένου να διασφαλισθεί ότι τα προσωπικά δεδομένα των Ρώσων χρηστών απολαμβάνουν το απαιτούμενο επίπεδο προστασίας. Η αποτυχία συμμόρφωσης με την ως άνω πρόβλεψη θα οδηγήσει στην επιβολή προστίμων, τα οποία αυξάνονται σημαντικά σε περίπτωση κατ’ επανάληψη παραβάσεων.

Σουηδία– Κάμερες σώματος

Παρανόμως έφεραν φορητές κάμερες σώματος οι εργαζόμενοι του οργανισμού μέσων μαζικής μεταφοράς της περιοχής της Στοκχόλμης. Τα εν λόγω μέσα εξυπηρετούν εκατοντάδες χιλιάδες πολίτες σε καθημερινή βάση. Αυτό έκρινε η Αρχή Προστασίας Δεδομένων της Σουηδίας με αποτέλεσμα να επιβληθεί πρόστιμο ύψους περίπου 1,6 εκ. ευρώ. Σκοπός λειτουργίας των καμερών, που κατέγραφαν προσωπικά δεδομένα επιβατών, ήταν η αποτροπή απειλητικών καταστάσεων, η καλύτερη καταγραφή συμβάντων και η διασφάλιση ότι τα πρόστιμα επιβάλλονται με ορθό τρόπο. Παραβάσεις διαπιστώθηκαν, μεταξύ άλλων, στο ότι οι επιβάτες δεν ενημερώνονταν πως οι κάμερες κατέγραφαν όχι μόνο εικόνα, αλλά και ήχο, καθώς και στο ότι συλλέγονταν περισσότερα δεδομένα από όσα ήταν αναγκαίο.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 24/06/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Νομοθεσία για τηλεργασία

Προ ολίγων ημερών δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4807/2021 που ρυθμίζει την τηλεργασία στο δημόσιο τομέα. Ως τηλεργασία ορίζεται η μορφή οργάνωσης και εκτέλεσης της εργασίας κατά την οποία ο εργαζόμενος εκτελεί τα καθήκοντά του εξ αποστάσεως, χρησιμοποιώντας τις τεχνολογίες πληροφορικής και επικοινωνίας. Εκ των βασικών αρχών της τηλεργασίας που προβλέπονται αποτελεί η προστασία των προσωπικών δεδομένων τα οποία χρησιμοποιούνται και υποβάλλονται σε επεξεργασία από τον τηλεργαζόμενο. Σε εφαρμογή αυτής, ο εκάστοτε δημόσιος φορέας υποχρεούται ιδίως να ενημερώνει επαρκώς, να εκπαιδεύει και να συνδράμει τους τηλεργαζόμενους στην εφαρμογή των δεουσών προστατευτικών διαδικασιών. Περαιτέρω, με επιμέλειά του εγκαθίσταται σε κάθε τεχνολογική συσκευή της τηλεργασίας σύστημα εναντίον των ιών («antivirus») και τείχος προστασίας («firewall»).

Κύπρος – Παιδοκομικός σταθμός

Επίπληξη επέβαλε σε παιδοκομικό σταθμό το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου κατόπιν καταγγελίας για ανάρτηση βίντεο και φωτογραφιών ανηλίκων παιδιών στην πλατφόρμα κοινωνικής δικτύωσης «Facebook». Ο παιδοκομικός σταθμός είχε για μικρό χρονικό διάστημα υπό τη φύλαξή του τα παιδιά του καταγγείλαντα. Όπως διαπιστώθηκε, οι φωτογραφίες και τα βίντεο δημοσιοποιήθηκαν παράνομα στον λογαριασμό του παιδοκομικού σταθμού στο «Facebook», χωρίς την απαραίτητη συγκατάθεση γονέα/κηδεμόνα. Επισημαίνεται ότι σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, γνωστό ως GDPR, εποπτική αρχή δύναται πέραν της επιβολής διοικητικού προστίμου να απευθύνει προειδοποιήσεις και επιπλήξεις. Προειδοποιήσεις απευθύνονται σε περίπτωση όπου σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν ρυθμίσεις του προστατευτικού πλαισίου και επιπλήξεις όταν διαπιστώνονται ελαφρότερες παραβιάσεις.

Ε.Δ.Δ.Α. – Μαζικές παρακολουθήσεις I

Με πρόσφατη απόφασή του (υπόθεση «Big Brother Watch» και λοιποί κατά Ηνωμένου Βασιλείου) το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) σε μείζονα σύνθεση έκρινε τη νομιμότητα συγκεκριμένων πρακτικών παρακολούθησης στο Ηνωμένο Βασίλειο κατόπιν καταγγελιών δημοσιογράφων και οργανώσεων ανθρωπίνων δικαιωμάτων. Οι εν λόγω καταγγελίες αφορούν τρεις πρακτικές κρατικής παρακολούθησης: α) τη μαζική παρακολούθηση επικοινωνιών, β) τη λήψη υλικού παρακολούθησης από αλλοδαπές κυβερνήσεις και υπηρεσίες πληροφοριών, καθώς και γ) τη λήψη δεδομένων επικοινωνίας από παρόχους υπηρεσιών επικοινωνίας. Κατά την απόφαση, εκ των ως άνω πρακτικών η πρώτη και η τρίτη παραβίαζαν κατά τον κρίσιμο χρόνο τον οποίον αφορούσαν οι καταγγελίες τα άρθρα 8 και 10 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ) για το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής/επικοινωνιών και την ελευθερία της έκφρασης αντίστοιχα. Αξιοσημείωτη είναι και η διαπίστωση του ΕΔΔΑ στην εν λόγω απόφαση ότι η λειτουργία συστήματος μαζικής παρακολούθησης δεν παραβιάζει εξ ορισμού την ΕΣΔΑ λόγω των απειλών ευρέος φάσματος που αντιμετωπίζουν τα κράτη στη σύγχρονη κοινωνία.

Ε.Δ.Δ.Α. – Μαζικές παρακολουθήσεις IΙ

Με δεύτερη απόφασή του (υπόθεση «Centrum för rättvisa» κατά Σουηδίας), που εκδόθηκε την ίδια ημέρα με την αμέσως προαναφερθείσα, το ΕΔΔΑ σε μείζονα σύνθεση έκρινε τη νομιμότητα συστήματος κρατικής, μαζικής παρακολούθησης μέσω ηλεκτρονικών σημάτων στη Σουηδία κατόπιν καταγγελίας μη κερδοσκοπικού ιδρύματος. Το εν λόγω ίδρυμα εκπροσωπεί πρόσωπα σε δικαστικές διαδικασίες κατά του κράτους συναφείς με την προστασία δικαιωμάτων. Η καταγγελία του έθετε ενώπιον του δικαστηρίου τον κίνδυνο υποκλοπής των επικοινωνιών του. Κατά την απόφαση, η εν λόγω πρακτική μαζικής παρακολούθησης παραβίαζε το άρθρο 8 της ΕΣΔΑ για το δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής/επικοινωνιών. Παρά το εν γένει νόμιμο των κυρίως χαρακτηριστικών της, τα προβλήματα εν προκειμένω εντοπίζονταν: α) στην απουσία διαφανούς κανόνα καταστροφής του υλικού παρακολούθησης που δεν περιείχε προσωπικά δεδομένα, β) την απουσία νομοθετικής πρόβλεψης για υποχρέωση λήψης υπόψη των συμφερόντων ιδιωτικότητας των ατόμων προ της απόφασης διαβίβασης του υλικού παρακολούθησης σε αλλοδαπούς εταίρους και γ) την απουσία αποτελεσματικού εκ των υστέρων μηχανισμού ελέγχου της.

Λουξεμβούργο – Γεωεντοπισμός οχημάτων

Κατευθυντήριες γραμμές για τη χρήση συστημάτων γεωεντοπισμού σε οχήματα εργαζομένων, τα οποία επιτρέπουν στους εργοδότες να παρακολουθούν χρονικά και τοπικά τις μετακινήσεις τους, εξέδωσε η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου. Όπως σημειώνεται, η λειτουργία σχετικών συστημάτων συνεπάγεται την επεξεργασία προσωπικών δεδομένων των εργαζομένων. Γεννούν μάλιστα τους κινδύνους παρακολούθησης σε πραγματικό χρόνο αυτών εκτός εργασιακού ωραρίου, καθώς και χρήσης των εν λόγω συστημάτων για άλλους σκοπούς από αυτούς για τους οποίους εγκαταστάθηκαν. Μεταξύ άλλων, υπογραμμίζεται ότι οι νόμιμοι σκοποί στους οποίους μπορεί να αποβλέπει η εγκατάσταση περιλαμβάνουν την ασφάλεια αγαθών, π.χ. οχημάτων ή μεταφερόμενου υλικού, την ασφάλεια προσώπων, π.χ. εργαζομένων που μεταφέρουν αντικείμενα μεγάλης αξίας ή επικίνδυνα υλικά, και τη συμμόρφωση με νομική υποχρέωση.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 10/06/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ευχές

Την Ολομέλεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) θα απασχολήσει προσεχώς το ζήτημα της μαζικής αποστολής ευχών από πολιτικό. Σύμφωνα με καταγγελία που υποβλήθηκε ενώπιον της και αναμένεται να εξετασθεί, πολίτης διαμαρτυρήθηκε για τη λήψη πασχαλινών ευχών στην ηλεκτρονική διεύθυνσή του από πρόσωπο με έντονη δράση στην τοπική αυτοδιοίκηση, χωρίς ουδέποτε ο ίδιος να έχει συγκατατεθεί ως προς τη λήψη σχετικών μηνυμάτων. Το ερώτημα που τίθεται είναι αν η εν λόγω δραστηριότητα μπορεί να θεωρηθεί πολιτική επικοινωνία, με αποτέλεσμα να απαιτείται κατά κανόνα η συγκατάθεση του αποδέκτη της, ώστε να πραγματοποιηθεί νομίμως. Κατά την καταγγελλόμενη, η αποστολή των ευχών αποτελεί εκδήλωση κοινωνικής αβρότητας και ευπρέπειας, χωρίς να συνιστά πολιτική επικοινωνία.

Κύπρος – «Cookies»

Τη διενέργεια ελέγχων σε διαδικτυακούς τόπους, οι οποίοι κάνουν χρήση cookies, εκκινεί το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) από τις 22 Ιουνίου. Υπενθυμίζεται ότι τα «cookies» αποτελούν μικρά αρχεία κειμένου που αποθηκεύονται από έναν δικτυακό τόπο στον υπολογιστή ή στη φορητή συσκευή του επισκέπτη. Τα εν λόγω «μπισκότα» μπορούν να χρησιμοποιηθούν ως μέσο παρακολούθησης της συμπεριφοράς του επισκέπτη και κατάρτισης προφίλ του στο διαδίκτυο. Για την εγκατάστασή τους απαιτείται υπό προϋποθέσεις η συγκατάθεση του χρήστη. Όπως επισημαίνει το Γραφείο Επιτρόπου, παρά τις υποδείξεις του, μεγάλος αριθμός ιστοσελίδων δεν έχει λάβει ακόμη τα δέοντα μέτρα. Δυστυχώς, παρόμοια είναι και η κατάσταση στην Ελλάδα, όπου πλήθος ιστοσελίδων επιδεικνύει άγνοια ή αδιαφορία για το ρυθμιστικό πλαίσιο.

Δ.Ε.Ε.Ι. – Γενέθλια GDPR I

Σημαντικά στατιστικά στοιχεία για την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, παρουσίασε η Διεθνής Ένωση Επαγγελματιών Ιδιωτικότητας («International Association of Privacy Professionals») με αφορμή τα γενέθλια των τριών ετών εφαρμογής του. Όπως αναφέρεται, κατά τα τρία αυτά έτη επιβλήθηκαν περισσότερα από 630 πρόστιμα τα οποία υπερβαίνουν σε συνολικό ύψος τα 283 εκ. ευρώ στις χώρες εφαρμογής του, ήτοι στα κράτη μέλη της Ευρωπαϊκής Ένωσης, τη Νορβηγία, την Ισλανδία και το Λίχτενσταϊν. Η υιοθέτησή του δημιούργησε κύμα υπέρ της προστασίας των προσωπικών δεδομένων σε παγκόσμια κλίμακα. Χαρακτηριστικά, προ της εφαρμογής του, 127 κράτη είχαν σχετικό νομοθετικό πλαίσιο, αριθμός που σήμερα έχει αυξηθεί στα 144 κράτη.

Κίνα – Νέα νομοθεσία

Τα σημαντικότερα σημεία του σχεδίου νόμου για την προστασία των προσωπικών δεδομένων στην Κίνα παρουσιάζει σε ειδική θεματική ιστοσελίδα η Αρχή Προστασίας Δεδομένων του Χονγκ Κονγκ. Κατά τη σχετική παρουσίαση, το νομοσχέδιο βρίσκεται αυτή τη στιγμή σε δεύτερο γύρο δημόσιας διαβούλευσης. Σύμφωνα με τις ρυθμίσεις του, η επεξεργασία των προσωπικών δεδομένων πρέπει να ακολουθεί τις αρχές του «ελαχίστου αναγκαίου» και του «ελαχίστου αντικτύπου στα δικαιώματα και τα συμφέροντα των ατόμων». Πέραν του ζητήματος του πότε είναι νόμιμη η επεξεργασία, το νομοσχέδιο ρυθμίζει επίσης θέματα διεθνών διαβιβάσεων προσωπικών δεδομένων, υποχρεώσεων μεγάλων διαδικτυακών πλατφορμών και κυρώσεων για την περίπτωση των παραβιάσεων. Δεν προβλέπεται όμως η λειτουργία Αρχής Προστασίας Δεδομένων.

Λιθουανία – Γενέθλια GDPR II

Ανακοίνωση εξέδωσε για τα γενέθλια του GDPR και η Αρχή Προστασίας Δεδομένων της Λιθουανίας. Όπως σημειώνεται, οι πολίτες είναι πλέον ενημερωμένοι ότι ο Γενικός Κανονισμός επιβάλλει υποχρεώσεις σε όσους επεξεργάζονται προσωπικά δεδομένα και προβλέπει αντίστοιχα δικαιώματα. Ως προς την ασφάλεια  των προσωπικών δεδομένων, το ανθρώπινο λάθος εξακολουθεί να αποτελεί τον αδύναμο κρίκο. Έμφαση απαιτείται να δοθεί επίσης στην επεξεργασία που λαμβάνει χώρα στο πλαίσιο των εργασιακών σχέσεων. Ειδικά για τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ), θέση κλειδί που προβλέπει ο GDPR εντός του εκάστοτε οργανισμού για την ορθή εφαρμογή του πλαισίου, κατά την τριετή περίοδο η εποπτική αρχή ενημερώθηκε για τον ορισμό 2.670 ατόμων ως ΥΠΔ.

Τουρκία – Περιστατικό παραβίασης

Συνολικό πρόστιμο ύψους 600.000 τουρκικών λιρών επέβαλε η Αρχή Προστασίας Δεδομένων της Τουρκίας σε νοσοκομείο λόγω περιστατικού παραβίασης. Στην εν λόγω υπόθεση φάκελοι ασθενών μεταφέρθηκαν παρανόμως εκτός του νοσοκομείου από μέλη του προσωπικού του. Το περιστατικό αφορούσε πλήθος προσωπικών δεδομένων 789 ασθενών, όπως τα στοιχεία ταυτότητας και επικοινωνίας τους, καθώς και δεδομένα υγείας τους. Το νοσοκομείο δεν είχε λάβει τα δέοντα μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων, λαμβανομένου υπόψη ότι μη εξουσιοδοτημένα πρόσωπα μπορούσαν να εισέλθουν στο χώρο τήρησης των φακέλων ασθενών και να αφαιρέσουν αυτούς, χωρίς να έχουν λάβει σχετική άδεια. Περαιτέρω, μέλη του προσωπικού δεν είχαν εκπαιδευθεί για ζητήματα προστασίας προσωπικών δεδομένων, παρά το ότι αυτό ήταν απαραίτητο.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 27/05/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Αυτοδιαγνωστικοί έλεγχοι

Ανακοίνωση εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αναφορικά με τους αυτοδιαγνωστικούς ελέγχους («self-tests») στο πλαίσιο διαχείρισης της πανδημίας. Όπως επισημαίνεται, οι υποβαλλόμενοι στους διαγνωστικούς ελέγχους μπορούν για την επεξεργασία των προσωπικών δεδομένων τους, που πραγματοποιείται μέσω της δήλωσης του αποτελέσματος αυτών στην ειδική πλατφόρμα self-testing.gov.gr, να ασκούν τα σχετικά δικαιώματά τους στον εκάστοτε υπεύθυνο της εν λόγω επεξεργασίας. Πρόκειται σε όλες τις περιπτώσεις για την ΗΔΙΚΑ ΑΕ και επιπροσθέτως το Υπουργείο Εργασίας (απασχολούμενοι στον ιδιωτικό τομέα), το Υπουργείο Εσωτερικών (απασχολούμενοι στο δημόσιο τομέα), το Ναυτικό Απομαχικό Ταμείο (ναυτικοί), το Υπουργείο Εσωτερικών και το Υπουργείο Παιδείας (θρησκευτικοί λειτουργοί). Οι λοιπές κατηγορίες που μπορούν να απευθύνονται μόνο στην ΗΔΙΚΑ ΑΕ είναι μαθητές, εκπαιδευτικοί, δικαστές, εισαγγελικοί λειτουργοί, φοιτητές, διδακτικό και λοιπό προσωπικό ΑΕΙ.

Κύπρος – Μέτρα COVID-19

Σε σειρά ερωτημάτων απαντά το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) για την εφαρμογή των μέτρων αναφορικά με τον COVID-19 και την προστασία των προσωπικών δεδομένων. Στο ερώτημα αν μπορεί εργοδότης να υποχρεώσει εργαζόμενο να εμβολιαστεί ή να λάβει ενημέρωση ότι ο τελευταίος έχει εμβολιαστεί, το Γραφείο Επιτρόπου απαντά κατά κανόνα αρνητικά. Στο ερώτημα αν η επίδειξη του πιστοποιητικού εμβολιασμού συνιστά επεξεργασία προσωπικών δεδομένων, το Γραφείο Επιτρόπου απαντά και εδώ αρνητικά, εφόσον όμως δεν λαμβάνει χώρα καταγραφή ή καταχώρηση οποιασδήποτε πληροφορίας σε ηλεκτρονικό ή έντυπο σύστημα αρχειοθέτησης από το πρόσωπο στο οποίο το πιστοποιητικό επιδεικνύεται.

Αφρική – Κυβερνοέγκλημα

Στη δημιουργία νέας υπηρεσίας κατά του κυβερνοεγκλήματος («cybercrime operations desk») προβαίνει η INTERPOL, για να ενισχύσει την ικανότητα 49 κρατών της Αφρικής να καταπολεμήσουν το έγκλημα στον κυβερνοχώρο. Η νέα υπηρεσία για την Αφρική θα έχει ως στόχο τη διαμόρφωση μιας περιφερειακής στρατηγικής, ώστε να εκδηλωθούν συντονισμένες ενέργειες κατά των κυβερνοεγκληματιών. Η πρωτοβουλία χρηματοδοτείται από το Ηνωμένο Βασίλειο. Όπως δήλωσε ο Γενικός Γραμματέας της INTERPOL Jürgen Stock, δοθέντος ότι περισσότερα από 4,5 δις άτομα χρησιμοποιούν το διαδίκτυο, πλέον του ημίσεος της ανθρωπότητας διατρέχει τον κίνδυνο να καταστεί θύμα του κυβερνοεγκλήματος ανά πάσα στιγμή. Επομένως, αναγκαία είναι μια ενιαία και ισχυρή αντίδραση απέναντι σε αυτό το ενδεχόμενο.

Γαλλία – Ετήσια έκθεση

Την ετήσια έκθεσή της για το 2020 δημοσίευσε η Αρχή Προστασίας Δεδομένων της Γαλλίας. Όπως υπογραμμίζεται, κατά το επίμαχο έτος υποβλήθηκαν 13.585 καταγγελίες, αριθμός αυξημένος κατά 62,5% σε σύγκριση με το χρονικό σημείο θέσης σε εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, το 2018. To γεγονός αυτό καταδεικνύει ότι οι Γάλλοι πολίτες κατανοούν ολοένα και περισσότερο τα δικαιώματά τους ως προς την επεξεργασία των προσωπικών δεδομένων τους. Εξ αυτών, 4.528 καταγγελίες εξετάσθηκαν αμέσως, 9.057 όμως απαίτησαν πρόσθετες ενέργειες. Περαιτέρω, κατά το ίδιο έτος η εποπτική αρχή πραγματοποίησε 247 ελέγχους και επέβαλε πρόστιμα συνολικού ύψους περίπου 138.000.000 ευρώ. Οι επιβληθείσες κυρώσεις αφορούσαν, μεταξύ άλλων, τη μη δέουσα λήψη μέτρων ασφαλείας.

Ηνωμένο Βασίλειο – Χείμαρρος αλληλογραφίας

Όχι ένα, όχι δύο, αλλά περίπου 4.000.000 μηνύματα ηλεκτρονικής αλληλογραφίας με διαφημιστικό περιεχόμενο απέστειλε παρανόμως εταιρεία στο Ηνωμένο Βασίλειο σε διάστημα ενός έτους. Όπως διαπίστωσε η αρμόδια εποπτική αρχή, τα μηνύματα ηλεκτρονικής αλληλογραφίας στάλθηκαν σε πελάτες οι οποίοι δεν επιθυμούσαν τη λήψη τους. Κατόπιν καταγγελιών, κινήθηκαν οι σχετικές διαδικασίες που κατέληξαν στην επιβολή προστίμου ύψους 90.000 λιρών στην εμπλεκόμενη εταιρεία. Τα μηνύματα αφορούσαν τα δώρα που προσέφερε η εταιρεία στην περίπτωση πραγματοποίησης αγορών στο διαδίκτυο με κάρτα της, καθώς και τη χρήση της ηλεκτρονικής εφαρμογής της. O ισχυρισμός της εταιρείας ότι το περιεχόμενό τους αφορούσε την εξυπηρέτηση των πελατών και όχι προωθητικές ενέργειες δεν έγινε δεκτός.

Η.Π.Α. – Λυτρισμικό

Συμβουλές και τακτικές για την αντιμετώπιση κακόβουλου λογισμικού το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση (λυτρισμικό ή «ransomware»), εξέδωσε το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας («National Institute of Standards and Technology») των ΗΠΑ. Μεταξύ άλλων, συστήνεται η συνεχής χρήση λογισμικού προστασίας από ιούς («antivirus»), το οποίο πρέπει να είναι ρυθμισμένο έτσι, ώστε να ελέγχει αυτομάτως μηνύματα ηλεκτρονικής αλληλογραφίας και αφαιρούμενα μέσα για λυτρισμικό και άλλο κακόβουλο λογισμικό. Προτείνεται επίσης η απαγόρευση ή η περιορισμένη χρήση προσωπικών συσκευών στα δίκτυα οργανισμού, καθώς και για τηλεργασία ή εν γένει εξ αποστάσεως πρόσβαση, εκτός αν έχουν ληφθεί πρόσθετα μέτρα ασφαλείας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/05/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Δ.Δ.Η.Ε. – «Επενδυτικές» απάτες

Δικογραφία σχηματίστηκε από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ) σε βάρος τριών ατόμων για απάτες με το πρόσχημα της παροχής επενδυτικών υπηρεσιών. Εξιχνιάστηκαν 11 υποθέσεις με το παράνομο περιουσιακό όφελος να ανέρχεται σε 460.000 ευρώ. Οι δράστες είχαν συστήσει εταιρεία με αντικείμενο την παροχή συμβουλευτικών υπηρεσιών μάρκετινγκ, χωρίς να έχουν λάβει ειδική άδεια για παροχή επενδυτικών υπηρεσιών. Προσέγγιζαν τα θύματά τους τηλεφωνικά και μέσω ηλεκτρονικού ταχυδρομείου, όπου προσποιούνταν εξειδικευμένους επενδυτικούς συμβούλους, οι οποίοι δήθεν εκπροσωπούσαν αλλοδαπή χρηματιστηριακή εταιρεία. Αφού κέρδιζαν την εμπιστοσύνη των θυμάτων, αποσπούσαν από αυτά χρηματικά ποσά για επενδύσεις με υψηλά ποσοστά απόδοσης. Στη συνέχεια όμως τα χρήματα… έκαναν φτερά.

Κύπρος – Πιστοποιητικά COVID-19

Η επίδειξη πιστοποιητικών εμβολιασμού, διενέργειας αρνητικού ταχέος τεστ («rapid test»), μοριακού τεστ («PCR test») και ανάρρωσης από τον COVID-19 απασχόλησε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Σύμφωνα με ανακοίνωσή του, τα εν λόγω πιστοποιητικά περιέχουν δεδομένα υγείας, τα οποία πρέπει να απολαμβάνουν αυξημένης προστασίας. Οι εργαζόμενοι, που υποχρεούνται να κατέχουν πιστοποιητικά αρνητικού ταχέος ή μοριακού τεστ, δεν οφείλουν να τα προσκομίζουν ή να τα επιδεικνύουν στον εργοδότη τους, ενημερώνοντας τον μόνο για το αποτέλεσμα. Το ίδιο ισχύει και σχετικά με τον εμβολιασμό, όπου ενημερώνεται ο εργοδότης, χωρίς να υφίσταται υποχρέωση προσκόμισης του πιστοποιητικού.

Μάλτα – Εμβολιασμοί COVID-19 I

Κατευθυντήριες γραμμές για τη συλλογή προσωπικών δεδομένων εργαζομένων από τους εργοδότες τους σχετικά με τον εμβολιασμό των πρώτων κατά του COVID-19 εξέδωσε η Αρχή Προστασίας Δεδομένων της Μάλτας. Όπως επισημαίνεται, η πληροφορία σχετικά με το αν εργαζόμενος έχει εμβολιασθεί αποτελεί δεδομένο υγείας, ήτοι ειδική κατηγορία δεδομένων που απολαμβάνει ενισχυμένης προστασίας. Η συλλογή των εν λόγω δεδομένων απαιτεί την προηγούμενη διενέργεια ειδικής εκτίμησης για τον αντίκτυπο που αυτή μπορεί να έχει στον εργαζόμενο, ώστε να διασφαλιστεί η τήρηση του προστατευτικού πλαισίου για τα προσωπικά δεδομένα. Η επεξεργασία της πληροφορίας για την κατάσταση εμβολιασμού δεν επιτρέπεται να οδηγεί στην επιβολή εις βάρος του εργαζόμενου αθέμιτων διακρίσεων. Αν αυτό συμβαίνει, τότε η συλλογή των δεδομένων είναι παράνομη και απαγορεύεται.

Νορβηγία – Διεθνείς διαβιβάσεις

Ακριβά καλείται να πληρώσει εταιρεία διοδίων την απόφασή της να διαβιβάσει παράνομα στην Κίνα προσωπικά δεδομένα οδηγών της Νορβηγίας. Τα δεδομένα διαβιβάζονταν σε εξωτερικό συνεργάτη της εταιρείας στην Άπω Ανατολή για μεγάλο χρονικό διάστημα στο πλαίσιο της λειτουργίας της, χωρίς να έχει ληφθεί ουδέν σχετικό μέτρο διασφάλισης της επαρκούς προστασίας των προσωπικών δεδομένων στη χώρα εισαγωγής, όπως η σύναψη ειδικής σύμβασης μεταξύ των μερών. Λόγω αυτών των ελλείψεων, αποφασίσθηκε η επιβολή προστίμου ύψους περίπου 500.000 ευρώ. Σημειώνεται ότι, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), διαβίβαση προσωπικών δεδομένων σε αποδέκτη που βρίσκεται εκτός Ευρωπαϊκού Οικονομικού Χώρου  μπορεί να λάβει χώρα μόνο υπό συγκεκριμένες προϋποθέσεις.

Τσεχία – Έλλειψη συνεργασίας

Πρόστιμο ύψους περίπου 3.800 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων της Τσεχίας σε τηλεοπτικό οργανισμό για μη συνεργασία κατά τη διάρκεια σχετικού ελέγχου. Περαιτέρω, διαπιστώθηκε ότι η πολιτική προστασίας προσωπικών δεδομένων που ήταν αναρτημένη στην ιστοσελίδα του τηλεοπτικού οργανισμού δεν ήταν πλήρης, επικαιροποιημένη και ευχερώς προσβάσιμη. Υπενθυμίζεται ότι, σύμφωνα με τον GDPR, ο βαθμός συνεργασίας με την εποπτική αρχή κατά τη διάρκεια ελέγχου αποτελεί κριτήριο που λαμβάνεται υπόψη για την επιβολή και το ύψος τυχόν διοικητικού προστίμου. Επίσης, η εκάστοτε ιστοσελίδα οφείλει να διαθέτει αναρτημένη πολιτική προστασίας προσωπικών δεδομένων, η οποία ενημερώνει, μεταξύ άλλων σε εύκολα προσβάσιμη μορφή, για την επεξεργασία των προσωπικών δεδομένων κατά τη λειτουργία της.

Φιλιππίνες – Εμβολιασμοί COVID-19 II

Δελτίο εξέδωσε η Αρχή Προστασίας Δεδομένων των Φιλιππίνων για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο του προγράμματος εμβολιασμού κατά του COVID-19, που διεξάγεται από την κυβέρνηση. Όπως αναφέρεται σε αυτό, η εποπτική αρχή έλαβε πλήθος σχετικών καταγγελιών, π.χ. καταγγέλθηκε η απαίτηση του προσωπικού τοπικής κυβερνητικής μονάδας προς ηλικιωμένους να γνωστοποιήσουν τα προσωπικά δεδομένά τους μέσω ανάρτησης υπό μορφή σχολίου σε μέσο κοινωνικής δικτύωσης, το οποίο ήταν δημόσια προσβάσιμο και κατ’ επέκταση ορατό στον οποιονδήποτε. Μεταξύ άλλων παρατηρήσεων, υπογραμμίζεται ότι σχετικές πληροφορίες δεν πρέπει να αναρτώνται σε δημόσια προσβάσιμες πλατφόρμες. Αντιθέτως, δέον είναι να λαμβάνονται κατάλληλα μέτρα για τη διασφάλιση της εμπιστευτικότητάς τους. Επιπροσθέτως, τα υποκείμενα των προσωπικών δεδομένων πρέπει να ενημερώνονται με ειδικό κείμενο για την επεξεργασία των προσωπικών δεδομένων τους στο πλαίσιο του προγράμματος εμβολιασμού.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 29/04/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Επιτήρηση εργαζομένων I

Πρόστιμο 2.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε εταιρεία για παράνομη λειτουργία κάμερας. Το σύστημα βιντεοεπιτήρησης δεν διέθετε καταγραφικό, αλλά μετέδιδε εικόνα στο κινητό τηλέφωνο του ιδιοκτήτη της εταιρείας. Εν προκειμένω, η ΑΠΔΠΧ έκρινε ότι το εν λόγω σύστημα λειτουργούσε παρανόμως, καθώς δεν περιοριζόταν σε χώρους που ήταν απαραίτητο για σκοπούς προστασίας προσώπων και αγαθών. Αντίθετα, αυτό λάμβανε παρανόμως εικόνα από τα γραφεία εργαζομένων, στα οποία πραγματοποιούνταν λογιστικές εργασίες. Προβληματική κρίθηκε επίσης ότι ήταν και η δυνατότητα ελέγχου σε πραγματικό χρόνο της κάμερας από τον διευθυντή της εταιρείας μέσω κινητού τηλεφώνου. Κατ’ αυτόν τον τρόπο, μεταξύ άλλων, αυξανόταν ο κίνδυνος για χρήση του υλικού προς ανεπίτρεπτη επιτήρηση των εργαζομένων.

Κύπρος – Ξεχασμένη κρύπτη

Μια παλιά, κλειδωμένη κρύπτη («vault»), κτισμένη μέσα σε τοίχο, απασχόλησε το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου. Η κρύπτη εντοπίστηκε σε χώρο που χρησιμοποιήθηκε κατά το παρελθόν από την τράπεζα ως κατάστημά της από τον νέο ενοικιαστή του, ο οποίος και ειδοποίησε αυτή. Προσωπικό της τράπεζας μετέβη στον χώρο και άνοιξε την κρύπτη, η οποία περιείχε αρχεία πρώην και νυν πελατών της. Ακολούθησε γνωστοποίηση από την τράπεζα στο Γραφείο Επιτρόπου, δεδομένου ότι η ύπαρξη των προσωπικών δεδομένων πελατών της στο κενό, πρώην κατάστημά της για περίπου τέσσερα χρόνια, μέχρι αυτό να ενοικιαστεί εκ νέου, στοιχειοθετούσε περιστατικό παραβίασης. Το Γραφείο Επιτρόπου εξέτασε την υπόθεση και επέβαλε πρόστιμο 25.000 ευρώ στην «ξεχασιάρα» τράπεζα.

Ελ Σαλβαδόρ – Νέα νομοθεσία

Νόμο για την προστασία των προσωπικών δεδομένων υιοθέτησε πρόσφατα το Ελ Σαλβαδόρ, με σκοπό τη διασφάλιση της εμπιστευτικότητας και της ορθής χρήσης αυτών. Υιοθετώντας τη διεθνή τάση, προβλέπονται πρόστιμα σημαντικού ύψους για τους παραβάτες, τα οποία καθορίζονται με μονάδα υπολογισμού τον ελάχιστο μηνιαίο μισθό. Ο νέος νόμος θα τεθεί σε εφαρμογή μετά την πάροδο ενός έτους από τη δημοσίευσή του.

Ευρωπαϊκή Ένωση – Τεχνητή Νοημοσύνη

Στην ανακοίνωση πρότασης Κανονισμού με αντικείμενο την ευρωπαϊκή προσέγγιση στην τεχνητή νοημοσύνη προέβη η Ευρωπαϊκή Επιτροπή. Υπενθυμίζεται ότι τεχνητή νοημοσύνη αποκαλείται η ικανότητα μιας μηχανής να δρα όπως ο ανθρώπινος νους, κατανοώντας, αναλύοντας και μαθαίνοντας από δεδομένα. Κατά την πρόταση Κανονισμού, τα συστήματα τεχνητής νοημοσύνης κατατάσσονται σε τέσσερις κατηγορίες: α) μη αποδεκτού κινδύνου, τα οποία θα απαγορεύονται, π.χ. σύστημα τεχνητής νοημοσύνης που επιτρέπει την «κοινωνική βαθμολόγηση» πολιτών από κυβερνήσεις, β) υψηλού κινδύνου, τα οποία θα υπόκεινται σε αυστηρές υποχρεώσεις, π.χ. σύστημα τεχνητής νοημοσύνης που αξιολογεί τη πιστοληπτική ικανότητα των πολιτών και τους στερεί τη δυνατότητα λήψης δανείων, γ) περιορισμένου κινδύνου, τα οποία θα υπόκεινται σε υποχρεώσεις διαφάνειας, π.χ. σύστημα τεχνητής νοημοσύνης σε διαλογικό ρομπότ («chatbot»), δ) ελαχίστου κινδύνου, τα οποία εν γένει θα επιτρέπονται, π.χ. σύστημα τεχνητής νοημοσύνης σε βιντεοπαιχνίδια. Η πορεία προς την τελική υιοθέτηση της πρότασης Κανονισμού από το Ευρωπαϊκό Κοινοβούλιο και τα κράτη μέλη αναμένεται να είναι μακρά.

Iσπανία – Επιτήρηση διαμερισμάτων

Ιδιοκτήτης τριών διαμερισμάτων στην Ισπανία αποφάσισε την εγκατάσταση τεσσάρων καμερών στο κτήριο χωρίς να λάβει την άδεια των υπολοίπων ιδιοκτητών του κτηρίου. Οι κάμερες, που παρακολουθούσαν κοινόχρηστους χώρους, λειτουργούσαν με το επιχείρημα ότι ήταν αναγκαίες, καθώς δύο εκ των διαμερισμάτων ενοικιάζονταν σε τουρίστες. Καμία σχετική πινακίδα δεν είχε αναρτηθεί περί της λειτουργίας τους. Η Αρχή Προστασίας Δεδομένων της Ισπανίας έκρινε ότι το εν λόγω σύστημα είχε εγκατασταθεί παράνομα, καθώς δεν είχαν συμφωνήσει οι λοιποί ιδιοκτήτες του κτηρίου, ούτε είχαν αναρτηθεί ενημερωτικές πινακίδες στις οποίες να αναγράφεται, μεταξύ άλλων, η ταυτότητα του προσώπου που προέβαινε στις επίμαχες καταγραφές. Για τους λόγους αυτούς, στον εν λόγω ιδιοκτήτη επιβλήθηκε πρόστιμο ύψους 3.000 ευρώ.

Ρουμανία – Επιτήρηση εργαζομένων ΙΙ

Υπόθεση παράνομης παρακολούθησης εργαζομένων μέσω συστήματος βιντεοεπιτήρησης απασχόλησε και την Αρχή Προστασίας Δεδομένων της Ρουμανίας. Εταιρεία χρησιμοποιούσε κάμερες με σκοπό την προστασία αγαθών. Στο πλαίσιο λειτουργίας του επίμαχου συστήματος, παρακολουθούνταν και οι χώροι με ιματιοθήκες, καθώς και οι τραπεζαρίες των εργαζομένων, όπου αυτοί έκαναν τα διαλείμματά τους και περνούσαν τον τυχόν ελεύθερο χρόνο τους. Η εποπτική αρχή έκρινε ότι η βιντεοεπιτήρηση των ως άνω χώρων δεν ήταν αναγκαία για την επίτευξη του σκοπού της προστασίας αγαθών. Ο εν λόγω στόχος θα μπορούσε να επιτευχθεί με λιγότερο παρεμβατικά μέσα για την ιδιωτικότητα των εργαζομένων. Για τους λόγους αυτούς επιβλήθηκε πρόστιμο περίπου 5.000 ευρώ στην εμπλεκόμενη εταιρεία.