Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 28/03/2024

Αιμίλιος ΚορωναίοςΠεριστ
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΑΠΔΠΧ – Περιστατικά παραβίασης

Έγγραφες συστάσεις για την αποτροπή περιστατικών παραβίασης προσωπικών δεδομένων περιλαμβάνει η Ετήσια Έκθεση της Αρχής Προστασίας Δεδομένων για το έτος 2022, η οποία δόθηκε πρόσφατα στη δημοσιότητα. Σύμφωνα με αυτές, η εγκατάσταση όλων των ενημερώσεων ασφαλείας (patches) στις εφαρμογές λογισμικού που υποστηρίζουν την επεξεργασία πρέπει, κατ’ ελάχιστο, να διενεργείται χωρίς καθυστέρηση και με συστηματικό τρόπο. Κάθε σημαντική αλλαγή στα πληροφοριακά συστήματα η οποία επηρεάζει την επεξεργασία θα πρέπει, πριν τεθεί σε εφαρμογή στο παραγωγικό περιβάλλον, να ελεγχθεί αρχικώς σε ασφαλές περιβάλλον, προκειμένου να διαπιστώνεται ότι δεν προκαλεί ζήτημα ασφάλειας της επεξεργασίας. Ειδικά δε μέτρα ασφάλειας θα πρέπει να εφαρμόζονται για περιπτώσεις επεξεργασίας που άπτονται προσωπικών δεδομένων ειδικών κατηγοριών τα οποία τηρούνται σε φορητές συσκευές, όπως η κρυπτογράφηση του σκληρού δίσκου ή των αρχείων που περιέχουν τα εν λόγω ευαίσθητα προσωπικά δεδομένα.

Κύπρος – Εξετάσεις

Το ζήτημα της πρόσβασης εξεταζόμενου στις απαντήσεις του σε γραπτές εξετάσεις θίγεται στην Ετήσια Έκθεση του Γραφείου Επιτρόπου για το έτος 2022, η οποία δημοσιεύθηκε προ ολίγων ημερών. Η παραπονούμενη, μέλος της Αστυνομίας Κύπρου, υπέβαλε παράπονο για μη ικανοποίηση αιτήματος πρόσβασης και διόρθωσης σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Σε αυτό το πλαίσιο, ζήτησε να της παρασχεθούν οι γραπτές απαντήσεις της στις εξετάσεις τεσσάρων μαθημάτων στις οποίες παρακάθησε, καθώς και οι ενδεχόμενες διορθώσεις του εξεταστή. Μετά από επιστολή του Γραφείου Επιτρόπου, η Αστυνομία παρέδωσε στην παραπονούμενη τις ερωτήσεις στις οποίες έπρεπε να απαντήσει και να αξιολογηθεί, καθώς και τα αντίγραφα των γραπτών απαντήσεών της στα εξεταστικά δοκίμια. Κατά τις επισημάνσεις της Ετήσιας Έκθεσης, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, οι γραπτές απαντήσεις υποψηφίου σε επαγγελματικές εξετάσεις και οι ενδεχόμενες διορθώσεις του εξεταστή, σχετικά με τις απαντήσεις αυτές, συνιστούν προσωπικά δεδομένα.

Γερμανία – Ημερομηνία γέννησης

Το μη κατά κανόνα νόμιμο της απαίτησης καταχώρισης της ημερομηνίας γέννησης του καταναλωτή για την πραγματοποίηση αγορών σε ηλεκτρονικό κατάστημα (online shop) υπογραμμίζει η εποπτική αρχή της Κάτω Σαξονίας. Πρόκειται για θέση της αρχής η οποία επιβεβαιώθηκε από απόφαση τοπικού διοικητικού δικαστηρίου. Η υπόθεση στην οποία ετέθη το θέμα αφορούσε ηλεκτρονικό κατάστημα φαρμακείου, το οποίο απαιτούσε την οικεία καταχώριση, ανεξαρτήτως του αν ο χρήστης προέβαινε στην αφορά φαρμάκων ή γενικότερα προϊόντων διαθέσιμων σε φαρμακείο. Η επίμαχη υποχρέωση παραβίαζε την αρχή της ελαχιστοποίησης του Γενικού Κανονισμού Προστασίας Δεδομένων, σύμφωνα με την οποία τα προσωπικά δεδομένα που συλλέγονται πρέπει να περιορίζονται στο αναγκαίο.

ΔΕΕ – Δακτυλικά αποτυπώματα

Στην υπόθεση η οποία απασχόλησε το Δικαστήριο της Ευρωπαϊκής Ένωσης,  Γερμανός πολίτης προσέβαλε ενώπιον γερμανικού δικαστηρίου την απορριπτική απόφαση του Δήμου Βισμπάντεν επί της αιτήσεώς του να του χορηγηθεί δελτίο ταυτότητας στο οποίο να μην ενσωματώνονται τα δακτυλικά αποτυπώματα του. Κατόπιν σχετικού αιτήματος του γερμανικού δικαστηρίου, το ΔΕΕ έκρινε ότι η αποθήκευση των δακτυλικών αποτυπωμάτων δικαιολογείται από σκοπούς γενικού συμφέροντος, ήτοι από τον σκοπό της καταπολέμησης της πλαστογράφησης των δελτίων ταυτότητας και του εγκλήματος της κλοπής ταυτότητας, καθώς και από τον σκοπό της διασφάλισης της διαλειτουργικότητας των συστημάτων επαλήθευσης.

Ευρωβουλή – Τεχνητή Νοημοσύνη

Ενεκρίθη από το Ευρωπαϊκό Κοινοβούλιο ο κανονισμός περί Τεχνητής Νοημοσύνης που κατοχυρώνει την ασφάλεια των χρηστών και την τήρηση των θεμελιωδών δικαιωμάτων, ενισχύοντας παράλληλα την καινοτομία. Μεταξύ άλλων, οι νέοι κανόνες απαγορεύουν τις εφαρμογές της τεχνητής νοημοσύνης που απειλούν τα δικαιώματα των πολιτών, όπως είναι η αναγνώριση συναισθημάτων στον χώρο εργασίας και το σχολείο, η κοινωνική βαθμολόγηση, η προληπτική αστυνόμευση, όταν βασίζεται αποκλειστικά στην κατάρτιση προφίλ ενός ατόμου ή στην αξιολόγηση των χαρακτηριστικών του, και η Τεχνητή νοημοσύνη που χειραγωγεί την ανθρώπινη συμπεριφορά ή εκμεταλλεύεται τα τρωτά σημεία των ανθρώπων. Πρόκειται για το πρώτο πλήρες νομοθετικό πλαίσιο στον κόσμο για το εν λόγω αντικείμενο, το οποίο πρέπει να εγκριθεί επίσημα και από το Συμβούλιο, ώστε να τεθεί σε ισχύ.

ΗΠΑ – Αεροπορικές εταιρείες

Σε αξιολόγηση των πρακτικών των δέκα μεγαλύτερων αεροπορικών εταιρειών της χώρας ως προς την προστασία της ιδιωτικότητας των επιβατών θα προβεί το Υπουργείο Μεταφορών, σύμφωνα με σχετική ανακοίνωση του Υπουργού Πιτ Μπούτιτζετζ. Η αξιολόγηση θα αφορά πρωτίστως τις πολιτικές και διαδικασίες οι οποίες ακολουθούνται, ώστε να διαπιστωθεί αν τα προσωπικά δεδομένα προστατεύονται με τον ενδεδειγμένο τρόπο. Θα εξετασθούν επίσης οι συνθήκες της τυχόν κοινολόγησης αυτών σε τρίτα μέρη. Σε περίπτωση διαπίστωσης παραβάσεων θα κινηθούν οι δέουσες διαδικασίες.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 14/03/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΑΠΔΠΧ – Ετήσια Έκθεση

Την Ετήσια Έκθεση της Αρχής Προστασίας Δεδομένων για το 2022 επέδωσε στον Πρόεδρο της Βουλής των Ελλήνων κ. Κωνσταντίνο Τασούλα o Πρόεδρος αυτής κ. Κωνσταντίνος Μενουδάκος. Στις δηλώσεις του ο κ. Μενουδάκος ανέφερε, μεταξύ άλλων, ότι το 2022 υποβλήθηκαν στην αρχή 1.250 καταγγελίες, ήτοι σε ποσοστό 8% περισσότερες σε σύγκριση με το 2021. Αντίστοιχα διεκπεραιώθηκαν 876 υποθέσεις, εμφανίζοντας ανάλογη αύξηση περίπου 8%. Η αρχή εξέδωσε 67 αποφάσεις και 5 γνωμοδοτήσεις, εξέτασε 209 γνωστοποιήσεις για περιστατικά παραβίασης δεδομένων και επέβαλε πρόστιμα ύψους 30 εκατομμυρίων ευρώ. Στα δε τέλη Ιουλίου 2022, η αρχή κίνησε αυτεπάγγελτη έρευνα σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα, ιδίως σε σχέση με το λογισμικό παρακολούθησης που αναφέρεται ως «Predator».

Κύπρος – Ετήσια Έκθεση

Ο Πρόεδρος της Δημοκρατίας κ. Νίκος Χριστοδουλίδης παρέλαβε την Ετήσια Έκθεση του Γραφείου της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το έτος 2022. Παραδίδοντας την Έκθεση, η Επίτροπος κα Ειρήνη Λοϊζίδου Νικολαΐδου ανέφερε ότι, όπως καταγράφεται και στην Ετήσια Έκθεση, διαπιστώνεται αυξητική τάση σε σχέση με τη δραστηριότητα του Γραφείου. Έτσι, το 2022 υποβλήθηκαν 453 παράπονα και 65 γνωστοποιήσεις περιστατικών παραβίασης προσωπικών δεδομένων. Εκδόθηκαν δε 57 αποφάσεις, για τις 17 εκ των οποίων επιβλήθηκε διοικητική κύρωση προστίμου συνολικού ποσού 105.750 ευρώ. Όπως επισημαίνεται, η κουλτούρα προστασίας των προσωπικών δεδομένων στους πολίτες, αλλά και σε όσους επεξεργάζονται προσωπικά δεδομένα, δεν είναι κάτι στατικό. Αντίθετα, αποτελεί μια συνεχή και απαιτητική προσπάθεια.

Γερμανία – Πλατφόρμα παραπόνων

Συμβουλές προς τις δημοτικές αρχές οι οποίες επιθυμούν να παρέχουν στους πολίτες διαδικτυακές πλατφόρμες για την υποβολή παραπόνων και τις τοποθεσίες με τις οποίες αυτά σχετίζονται, π.χ. για σηματοδότη που δεν λειτουργεί ή για περιοχή με απορρίμματα, δημοσίευσε η εποπτική αρχή του κρατίδιου της Βάδης-Βυρτεμβέργης. Σε πολλές από αυτές τις πλατφόρμες παρέχεται η δυνατότητα στον χρήστη, πέραν της αναφοράς του προβλήματος, να μεταφορτώσει συνοδευτική φωτογραφία, στοιχεία τα οποία στη συνέχεια συχνά καθίστανται προσβάσιμα σε όλους τους επισκέπτες. Κατά την εποπτική αρχή, η δημοτική αρχή είναι κατά κανόνα υπεύθυνη για την επεξεργασία των συναφών προσωπικών δεδομένων και οφείλει να συμμορφώνεται με το προστατευτικό πλαίσιο. Έτσι, προσωπικά δεδομένα δεν χρειάζεται και επομένως, δεν πρέπει να καθίστανται δημοσίως προσβάσιμα στην πλατφόρμα.

EE – Δεδομένα επιβατών

Προσωρινά σε συμφωνία κατέληξαν η βελγική Προεδρία του Συμβουλίου και οι διαπραγματευτές του Ευρωπαϊκού Κοινοβουλίου σχετικά με δύο κανονισμούς για τη συλλογή και τη χρήση δεδομένων επιβατών αεροπορικών μεταφορών, με σκοπούς τη διαχείριση των συνόρων και την επιβολή του νόμου. Οι προς υιοθέτηση, νέοι κανόνες θα βελτιώσουν τη διαχείριση των εκ των προτέρων πληροφοριών για επιβάτες (Advance Passenger Information), στο πλαίσιο της διενέργειας ελέγχων σε αυτούς πριν από την άφιξή τους στα εξωτερικά σύνορα της ΕΕ, αλλά και για τις πτήσεις εντός της ΕΕ. Η συμφωνία θα πρέπει να εγκριθεί επίσημα από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

ΗΠΑ – Νέα νομοθεσία

Η δέκατη τέταρτη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων -και η δεύτερη για το 2024- έγινε το Νιου Χάμσαϊρ. Οι καταναλωτές της «Πολιτείας του Γρανίτη» μπορούν πλέον να γνωρίζουν ποια προσωπικά δεδομένα τους συλλέγονται από εταιρείες και πώς τηρούνται. Δύνανται επίσης να αιτηθούν τη διαγραφή τους. Ο κυβερνήτης της πολιτείας Κρις Σουνούνου δήλωσε ότι το Νιου Χάμσαϊρ ανταποκρίνεται στο μότο του «Ζήσε Ελεύθερος ή Πέθανε» (Live Free or Die), διασφαλίζοντας στους πολίτες τον έλεγχο των προσωπικών δεδομένων τους. Πρόσθεσε μάλιστα ότι πρόκειται για νόμο ο οποίος εμπνέει εμπιστοσύνη ότι την εποχή της Τεχνητής Νοημοσύνης λαμβάνονται μέτρα για την προστασία των καταναλωτών.

Νότια Αφρική – Προωθητικές ενέργειες

Εντολή απηύθυνε η εποπτική αρχή σε εταιρεία παροχής υπηρεσιών εκπαίδευσης, ώστε να διακόψει αμέσως τις μη ζητηθείσες προωθητικές ενέργειες / ενέργειες μάρκετινγκ με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, συμπεριλαμβανομένων των τηλεφώνου, φαξ, sms, email και μηχανήματος αυτοματοποιημένων κλήσεων, προς οποιοδήποτε αποδέκτη ο οποίος δεν έχει συγκατατεθεί σχετικά. Την κινητοποίηση της αρχής, η οποία εξέδωσε για πρώτη φορά ειδοποίηση λήψης μέτρων αυτού του περιεχομένου, προκάλεσε καταγγελία σε βάρος της εταιρείας, σε μια περίοδο μεγάλης δυσφορίας του κοινού λόγω παρόμοιων συμπεριφορών. Κατά την καταγγελία, ο αποδέκτης έλαβε αναρίθμητα προωθητικά μηνύματα, χωρίς να έχει συγκατατεθεί, τα οποία μάλιστα δεν σταματούσαν, παρά τα πολυάριθμα αιτήματά του προς τον αποστολέα να αφαιρεθεί από τη λίστα αποδεκτών.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 29/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Α.Π.Δ.Π.Χ. – Γεωεντοπισμός

Πρόστιμο ύψους 2.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε εταιρεία για παράνομη λειτουργία συστήματος γεωεντοπισμού σε όχημα. Κατά την καταγγελία, σε εργαζόμενο στη θέση του πωλητή είχε παραχωρηθεί όχημα από την εταιρεία του, στο οποίο όχημα λειτουργούσε σύστημα γεωεντοπισμού, όπως αυτός είχε ενημερωθεί σχετικά. Κατά τη διάρκεια της κανονικής άδειας του, ο εργαζόμενος δέχθηκε κλήσεις στο τηλέφωνό του από την εταιρεία, στις οποίες όμως δεν απάντησε. Τότε, ο διευθυντής πωλήσεων της εταιρείας έκανε χρήση των δεδομένων του συστήματος γεωεντοπισμού στο εταιρικό όχημα και εμφανίστηκε στο σούπερ μάρκετ, όπου ο εργαζόμενος είχε πάει για ψώνια! Όπως έκρινε η ΑΠΔΠΧ, η εν λόγω επεξεργασία των προσωπικών δεδομένων ήταν παράνομη, καθώς η εταιρεία δεν είχε δικαίωμα γεωεντοπισμού του οχήματος εκτός ωρών εργασίας.

Κύπρος – Διαφημιστικά μηνύματα

Ανακοίνωση εξέδωσε το Γραφείο Επιτρόπου Κύπρου για την αποστολή διαφημιστικών μηνυμάτων με SMS και email, εξαιτίας της αύξησης των σχετικών παραπόνων. Σύμφωνα με αυτή, η αποστολή διαφημιστικών μηνυμάτων επιτρέπεται κατά κανόνα στην περίπτωση προσώπων τα οποία έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους. Ειδικά για τα διαφημιστικά μηνύματα SMS, σε αυτά θα πρέπει να περιλαμβάνεται δωρεάν αριθμός τερματισμού λήψης μηνυμάτων, με οδηγίες προς τον παραλήπτη για το πώς μπορεί να ζητήσει τον τερματισμό αυτών. Για παράδειγμα, στο τέλος του μηνύματος να αναγράφεται «Για διαγραφή καλέστε 8ΧΧΧΧΧΧΧ» ή «SMS STOP στείλτε ΧΧΧΧΧ στο 8ΧΧΧ».

Δ.Ε.Ε. – Βιομετρικά δεδομένα

Όχι στην επί της ουσίας άνευ περιορισμού -πέραν της επέλευσης θανάτου- τήρηση βιομετρικών και γενετικών δεδομένων προσώπων που έχουν καταδικαστεί με αμετάκλητη απόφαση για εκ προθέσεως τελεσθέν ποινικό αδίκημα από τις αστυνομικές αρχές είπε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) με πρόσφατη απόφασή του. Κατά το ΔΕΕ, ακόμη και αν η γενικώς και αδιακρίτως τήρηση των δεδομένων δικαιολογείται από τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, οι εθνικές αρχές οφείλουν να επιβάλλουν στον υπεύθυνο επεξεργασίας την υποχρέωση να επανεξετάζει περιοδικά εάν η τήρηση εξακολουθεί να είναι αναγκαία. Οφείλουν να αναγνωρίζουν επίσης στα υποκείμενα των δεδομένων το δικαίωμα να ζητήσουν τη διαγραφή τους, εφόσον η τήρηση των δεδομένων έχει παύσει να είναι αναγκαία.

ΗΠΑ – Ύδρευση και αποχέτευση

H Αρχή Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Υπηρεσία Περιβαλλοντικής Προστασίας (EPA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI) εξέδωσαν κοινό ενημερωτικό δελτίο με τις πιο σημαντικές, προτεινόμενες ενέργειες για την κυβερνοασφάλεια των συστημάτων ύδρευσης και αποχέτευσης. Μεταξύ αυτών περιλαμβάνονται η μείωση της έκθεσης στο διαδίκτυο, η τακτική διενέργεια εκτιμήσεων κυβερνοασφάλειας, η άμεση αλλαγή των εργοστασιακών κωδικών (default passwords), η διεξαγωγή απογραφής στοιχείων Τεχνολογίας Πληροφοριών (Information Technology) και Λειτουργικής Τεχνολογίας (Operational Technology), η ανάπτυξη και δοκιμαστική εφαρμογή Πλάνων Αντιμετώπισης και Ανάκτησης από Περιστατικά Κυβερνοασφάλειας (Cybersecurity Incident Response and Recovery Plans), η πραγματοποίηση εκπαίδευσης για την ευαισθητοποίηση στην κυβερνοασφάλεια, καθώς και η μείωση της έκθεσης σε ευπάθειες.

Ιταλία – Ιστοσελίδα γνωριμιών

Πρόστιμο ύψους 200.000 ευρώ επέβαλε η εποπτική αρχή σε ιστοσελίδα γνωριμιών για πλήθος παραβιάσεων ως προς την προστασία των προσωπικών δεδομένων περίπου 1 εκ. μελών της. Η εγγραφή στην ιστοσελίδα απαιτούσε την καταχώριση σειράς πληροφοριών, όπως ενδιαφέρον γνωριμίας, χώρα, περιφέρεια, πόλη, ημερομηνία γέννησης, διεύθυνση ηλεκτρονικής αλληλογραφίας, καθώς και φωτογραφιών, χωρίς να παρέχεται επαρκής ενημέρωση προς τους χρήστες για την επεξεργασία αυτών. Περαιτέρω, δεν είχε υιοθετηθεί πολιτική για τις περιόδους τήρησης των προσωπικών δεδομένων, με την ιστοσελίδα να διαγράφει με τυχαίο τρόπο μη ενεργούς λογαριασμούς και ανεπιτυχείς προσπάθειες εγγραφής. Δεν είχε εκπονηθεί επίσης αρχείο δραστηριοτήτων επεξεργασίας, δεν είχε οριστεί Υπεύθυνος Προστασίας Δεδομένων και δεν είχε διενεργηθεί εκτίμηση αντικτύπου κατά τα προβλεπόμενα.

Πολωνία – Αυτοκτονίες

Δύο προβεβλημένες υποθέσεις στις οποίες η κοινολόγηση των προσωπικών δεδομένων οδήγησε στην αυτοκτονία των εμπλεκομένων τέθηκαν στο μικροσκόπιο της εποπτικής αρχής. Τα συμβάντα καταδεικνύουν ότι η ευρεία δημοσιοποίηση πληροφοριών δύναται να έχει τραγικές συνέπειες. Έτσι, στη μία εξ αυτών, μέσα ενημέρωσης απεκάλυψαν πληροφορίες, με αποτέλεσμα την ταυτοποίηση παιδιού το οποίο είχε καταστεί θύμα παιδόφιλου. Κατόπιν αυτού, το παιδί αυτοκτόνησε. Στη δε δεύτερη, τα προσωπικά δεδομένα ιερέα δημοσιοποιήθηκαν σε μέσα κοινωνικής δικτύωσης σχετικά με σύλληψή του για ανήθικη πράξη. Ο ιερέας προέβη σε αυτοκτονία, γεγονός που ενδεχομένως συνδέεται με την επίμαχη κοινολόγηση των προσωπικών δεδομένων του. Η εποπτική αρχή διερευνά τα περιστατικά σε συνεργασία με τις εισαγγελικές αρχές.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 15/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΕΛ.ΑΣ. – Απάτη με υπολογιστή

Εξιχνιάστηκε από αστυνομικούς του Τμήματος Ασφάλειας Κοζάνης υπόθεση απάτης με υπολογιστή, η οποία τελέστηκε σε βάρος 60χρονου ημεδαπού. Ειδικότερα, ο 60χρονος κατήγγειλε ότι αρχές Σεπτεμβρίου του 2023, άγνωστο άτομο, αφού επικοινώνησε τηλεφωνικά μαζί του, παρουσιάζοντάς του ψευδή γεγονότα ως αληθή, κατάφερε και απέκτησε παράνομα πρόσβαση στον ηλεκτρονικό τραπεζικό λογαριασμό του (e-banking). Στη συνέχεια δε ο δράστης μετέφερε το χρηματικό ποσό των 2.300 ευρώ από τον λογαριασμό του 60χρονου σε έτερο λογαριασμό. Μετά από ενδελεχή έρευνα και κατάλληλη αξιοποίηση στοιχείων ταυτοποιήθηκαν τα στοιχεία ενός 36χρονου αλλοδαπού, ο οποίος είναι κάτοχος του αριθμού τηλεφώνου, και ενός 51χρονου ημεδαπού, ο οποίος είναι  κάτοχος του τραπεζικού λογαριασμού στον οποίο μεταφέρθηκε το ανωτέρω χρηματικό ποσό. Σε βάρος αυτών σχηματίσθηκε ποινική δικογραφία για απάτη με υπολογιστή.

Κύπρος – Μέσα Κοινωνικής Δικτύωσης

Η Υποδιεύθυνση Ηλεκτρονικού Εγκλήματος προειδοποιεί τους πολίτες ότι παρατηρείται έξαρση του φαινομένου υποκλοπής λογαριασμών σε Μέσα Κοινωνικής Δικτύωσης και ιδιαίτερα στο Viber. Το κοινό καλείται να είναι ιδιαίτερα προσεκτικό και να μην αποκαλύπτει κωδικούς που λαμβάνει σε οποιοδήποτε πρόσωπο. Επίσης, για να αποτραπεί το ενδεχόμενο παράνομης πρόσβασης σε ηλεκτρονικούς λογαριασμούς απαιτείται: α) ενεργοποίηση στις ρυθμίσεις ασφαλείας του ελέγχου ταυτότητας δύο παραγόντων, β) έλεγχος των συσκευών από τις οποίες πραγματοποιείται σύνδεση στους λογαριασμούς, γ) έλεγχος προσωπικών στοιχείων (email και αριθμού τηλεφώνου) τα οποία έχουν καταχωρηθεί στο Facebook και Instagram, ώστε να διαγραφούν αυτά τα οποία πλέον δεν χρησιμοποιούνται, δ) αλλαγή των κωδικών πρόσβασης σε τακτά χρονικά διαστήματα, χρησιμοποιώντας σύμβολα, αριθμούς και γράμματα, ε) χρήση ξεχωριστού κωδικού πρόσβασης σε κάθε λογαριασμό.

Αυστραλία – Στελέχη επιχειρήσεων

H αρμόδια Διεύθυνση Πληροφοριών της Αυστραλίας (Australian Signals Directorate) δημοσίευσε πρακτικές συμβουλές κυβερνοασφάλειας για ηγετικά στελέχη επιχειρήσεων. Τα εν λόγω πρόσωπα αντιμετωπίζουν αυξημένους κινδύνους λόγω των πληροφοριών και των ανθρώπων στους οποίους έχουν πρόσβαση. Μεταξύ άλλων, συστήνεται η απενεργοποίηση και ακολούθως η ενεργοποίηση των κινητών συσκευών τουλάχιστον μία φορά την ημέρα για την αποτελεσματικότερη αφαίρεση τυχόν κακόβουλου λογισμικού, καθώς και η φόρτιση των συσκευών μόνο με τη χρήση αξιόπιστων καλωδίων φόρτισης και πηγών ρεύματος, δεδομένου ότι αμφότερα μπορούν να χρησιμοποιηθούν για τη μόλυνση με κακόβουλο λογισμικό.

Η.Π.Α. – Τεχνητή Νοημοσύνη

Την πρόθεσή του να προσλάβει 50 ειδικούς στην Τεχνητή Νοημοσύνη εντός του 2024 ανακοίνωσε το Υπουργείο Εσωτερικής Ασφάλειας (Department of Homeland Security). Το νέο Σώμα Τεχνητής Νοημοσύνης (AI Corps) θα συμβάλλει στην καλύτερη αξιοποίηση αυτής σε στρατηγικούς τομείς, όπως στην προσπάθεια για την καταπολέμηση των ναρκωτικών, της σεξουαλικής εκμετάλλευσης και της κακοποίησης παιδιών, την παροχή υπηρεσιών σε ζητήματα μετανάστευσης, τα ασφαλή ταξίδια, την ενδυνάμωση των κρίσιμων υποδομών και την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Οι ειδικοί οι οποίοι θα προσληφθούν θα υποστηρίξουν πρωτοβουλίες για την ασφαλή χρήση της Τεχνητής Νοημοσύνης, προστατεύοντας παράλληλα την ιδιωτικότητα και τα ατομικά δικαιώματα.

Ολλανδία – Uber

Πρόστιμο ύψους 10 εκ. ευρώ επέβαλε η εποπτική αρχή στη γνωστή εταιρεία παροχής υπηρεσιών μεταφοράς προσώπων Uber. Οι παραβιάσεις της εταιρείας αφορούν τη μη πλήρη ενημέρωση για τις περιόδους τήρησης των προσωπικών δεδομένων των Ευρωπαίων οδηγών, καθώς και τα κράτη εκτός Ευρώπης στα οποία κοινολογεί προσωπικά δεδομένα. Η εποπτική αρχή διαπίστωσε επίσης ότι οι οδηγοί αντιμετώπιζαν δυσκολίες στις προσπάθειές τους να ασκήσουν τα δικαιώματα σχετικά με την ιδιωτικότητά τους. Ο Πρόεδρος της εποπτικής αρχής δήλωσε ότι οι οδηγοί της Uber έχουν δικαίωμα να γνωρίζουν πώς η εταιρεία επεξεργάζεται τα προσωπικά δεδομένα τους, η Uber όμως δεν παρείχε ενημέρωση με τη δέουσα σαφήνεια.

Περού – Απολογισμός

Συγκεντρωτικά στοιχεία για τη δράση της κατά τη διάρκεια του 2023 παρουσίασε η εποπτική αρχή. Σύμφωνα με αυτά, πραγματοποιήθηκαν έλεγχοι σε 336 οργανισμούς τόσο του δημόσιου όσο και του ιδιωτικού τομέα, κυρίως στον χρηματοπιστωτικό τομέα και τον τομέα τηλεπικοινωνιών. Κινήθηκαν 132 διαδικασίες επιβολής κυρώσεων, επιβλήθηκαν δε πρόστιμα συνολικού ύψους το οποίο υπερβαίνει τα 7,6 εκ. περουβιανά σολ. Eν τούτοις, εισπράχθηκαν περίπου 2,8 εκ. εξ αυτών, καθώς πολλοί οργανισμοί αξιοποιούν τη δυνατότητα εκπτώσεως 40% στο ποσό του προστίμου εφόσον προβούν στην άμεση πληρωμή του, άλλοι καθυστερούν την καταβολή του, ενώ ακολουθούνται επίσης η διαδικασία της αναγκαστικής εκτέλεσης ή της δικαστική αμφισβήτησης του επιβληθέντος προστίμου. Επισημαίνεται επίσης ότι η εποπτική αρχή είναι αρμόδια για το Εθνικό Μητρώο Προστασίας των Προσωπικών Δεδομένων, μέσω του οποίου κάθε πολίτης μπορεί να γνωρίζει ποια προσωπικά δεδομένα του επεξεργάζεται συγκεκριμένος οργανισμός.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 1/02/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΕΛ.ΑΣ. – Λούτρινο κουκλάκι

Αστυνομικοί του Τμήματος Ασφαλείας Θέρμης συνέλαβαν ημεδαπή 26 ετών για παραβίαση του απορρήτου τηλεφωνικής επικοινωνίας και προφορικής συνομιλίας. Προηγήθηκε καταγγελία του πρώην συζύγου της, σύμφωνα με την οποία, αφού ο ίδιος παρέλαβε το ανήλικο τέκνο τους, βάσει σχετικής απόφασης, μετέβη σε κατοικία που διαμένει. Εκεί, μεταξύ προσωπικών αντικειμένων του παιδιού, αυτός εντόπισε λούτρινο κουκλάκι, στο οποίο υπήρχε επιμελώς κρυμμένο και ενεργοποιημένο USB stick, που κατέγραφε προσωπικές του συνομιλίες. Η συλληφθείσα, με τη δικογραφία που σχηματίστηκε σε βάρος της, οδηγήθηκε στον αρμόδιο Εισαγγελέα.

Κύπρος – Σύστημα Υγείας

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου σχετικά με πρόσβαση σε λογαριασμό πολίτη στο πληροφοριακό σύστημα του Γενικού Συστήματος Υγείας (ΓεΣΥ) από ιατρό. Συγκεκριμένα, ως η καταγγέλλουσα ανέφερε, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην ηλεκτρονική πύλη δικαιούχων του ΓεΣΥ, χωρίς να τη γνωρίζει, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο Επιτρόπου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα. Η τελευταία δεν μπόρεσε όμως να αποδείξει ότι έλαβε με νόμιμο τρόπο τα προσωπικά δεδομένα της καταγγέλλουσας και ότι είχε εξουσιοδότηση όπως επιτύχει πρόσβαση στην πύλη δικαιούχου. Για τους λόγους αυτούς της επιβλήθηκε διοικητικό πρόστιμο ύψους 1.500 ευρώ.

Ε.Δ.Δ.Α. – Καταδίκη Ελλάδος

Απόφαση σε βάρος της Ελλάδος εξέδωσε το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ), με την οποία καλείται η χώρα μας να καταβάλει ποσό ύψους 70.000 ευρώ. Η υπόθεση αφορούσε εκδιδόμενα πρόσωπα τα οποία συνελήφθησαν στο πλαίσιο αστυνομικής επιχείρησης στο κέντρο της Αθήνας το 2012. Κατόπιν ιατρικών εξετάσεων, συμπεριλαμβανομένων εξετάσεων αίματος, διαπιστώθηκε ότι αυτά ήταν οροθετικά. Με διάταξη μάλιστα εισαγγελέα δημοσιοποιήθηκαν τα ονόματά τους, οι φωτογραφίες τους και το γεγονός ότι ήταν οροθετικά, στη συνέχεια δε υπήρξε μεγάλη διασπορά των εν λόγω στοιχείων από δημοσιογραφικά μέσα. Όπως έκρινε το ΕΔΔΑ, εν προκειμένω συνέτρεχε παραβίαση του άρθρου 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου για το δικαίωμα σεβασμού της ιδιωτικής ζωής, αφενός λόγω των υποχρεωτικών εξετάσεων αίματος, δίχως να υφίσταται το αναγκαίο νομοθετικό πλαίσιο, και αφετέρου λόγω της ως άνω δημοσιοποίησης προσωπικών δεδομένων.

Ελβετία – Αίθουσα διακομιστή

Τον επικαιροποιημένο οδηγό με προτεινόμενα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων δημοσίευσε στην ιστοσελίδα της στην αγγλική γλώσσα η εποπτική αρχή. Μεταξύ άλλων, θίγεται και το θέμα της ασφάλειας της αίθουσας διακομιστή (server room). Όπως σημειώνεται, πρόκειται για τον πιο ευαίσθητο χώρο ενός οργανισμού, καθώς τα δεδομένα αποθηκεύονται στα μηχανήματα τα οποία βρίσκονται σε αυτόν. Για την προστασία του, λοιπόν, προτείνονται ο περιορισμός του αριθμού των προσώπων τα οποία είναι εξουσιοδοτημένα να εισέρχονται σε αυτόν, η ανάθεση της καθαριότητας του στα ίδια πρόσωπα του προσωπικού καθαρισμού, η καταγραφή όσων εισέρχονται σε αυτόν και η προστασία του με σύστημα συναγερμού. Επίσης, η επιλογή υπόγειου χώρου για την αίθουσα διακομιστή, ώστε να ελαχιστοποιούνται τα σημεία φυσικής πρόσβασης, π.χ. πόρτες και παράθυρα, καθώς και η αυτόματη ανίχνευση φυσικών συμβάντων, όπως φωτιές ή πλημμύρες, μέσω ειδικών συστημάτων.

Η.Π.Α. – Νέα νομοθεσία

Η δέκατη τρίτη πολιτεία της χώρας με γενικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων των καταναλωτών -και η πρώτη για το 2024- έγινε το Νιου Τζέρσεϊ, μετά τις Αϊόβα, Βιρτζίνια, Γιούτα, Ιντιάνα, Καλιφόρνια, Κολοράντο, Κονέκτικατ, Μοντάνα, Ντέλαγουερ, Όρεγκον, Τενεσί και Τέξας. Ο νέος νόμος, ο οποίος υιοθετήθηκε, θα τεθεί σε εφαρμογή τον Ιανουάριο του 2025. Θα αφορά οντότητες οι οποίες δραστηριοποιούνται επιχειρηματικά στο Νιου Τζέρσεϊ ή παράγουν προϊόντα / παρέχουν υπηρεσίες με αποδέκτες καταναλωτές αυτού. Για να κληθεί σε εφαρμογή απαιτείται να πληρούνται ορισμένα ποσοτικά κριτήρια σε σχέση με τον αριθμό των προσώπων των οποίων τα προσωπικά δεδομένα τυγχάνουν επεξεργασίας, αλλά και το αν λαμβάνει χώρα πώληση προσωπικών δεδομένων.

Ιταλία – Βρέφος

Πρόσκληση απηύθυνε η εποπτική αρχή της χώρας στον τύπο, ενημερωτικές ιστοσελίδες και μέσα κοινωνικής δικτύωσης για να απέχουν από την περαιτέρω κοινολόγηση βίντεο καμερών ασφαλείας στο οποίο έχει καταγραφεί γυναίκα να εγκαταλείπει νεογέννητο βρέφος στην είσοδο νοσοκομείου. Η εποπτική αρχή τονίζει ότι εν λόγω ενέργεια παραβιάζει το πλαίσιο προστασίας των προσωπικών δεδομένων, καθώς και τους δεοντολογικούς κανόνες της δημοσιογραφίας, δεδομένου ότι οι επίμαχες εικόνες πλήττουν την αξιοπρέπεια της γυναίκας σε μια στιγμή ιδιαίτερης ευαλωτότητάς της.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 18/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

ΥΨηΔ – Κυβερνοασφάλεια

Σε διαβούλευση τέθηκε από το Υπουργείο Ψηφιακής Διακυβέρνησης (ΥΨηΔ) το νομοσχέδιο για τον εκσυγχρονισμό και την ενίσχυση της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία θα καταστεί νομικό πρόσωπο δημοσίου δικαίου. Κατά το άρθρο 4 αυτού, σκοπός της αναβαθμισμένης πλέον αρχής θα είναι η οργάνωση, ο συντονισμός, η εφαρμογή και ο έλεγχος ενός ολοκληρωμένου πλαισίου στρατηγικών, μέτρων και δράσεων για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας στη χώρα. Όπως υπογραμμίζεται στην έκθεση ανάλυσης συνεπειών ρύθμισης του νομοσχεδίου, η κυβερνοασφάλεια αποτελεί έναν ταχέως εξελισσόμενο και ιδιαιτέρως κρίσιμο τομέα για την Ελλάδα, δεδομένου ότι συνδέεται άρρηκτα τόσο με την εύρυθμη λειτουργία των κρίσιμων υποδομών της όσο και με την ανθεκτικότητα και απόκριση του κράτους σε κυβερνοαπειλές, καθώς επίσης και με την επιχειρησιακή συνέχεια των υπηρεσιών τις οποίες αυτό παρέχει.

Κύπρος – Αστυνομία

Την προσοχή του κοινού συστήνει για ακόμα μια φορά η Αστυνομία Κύπρου, σχετικά με τηλεφωνικές απάτες μέσω της εφαρμογής επικοινωνίας WhatsApp. Συγκεκριμένα, επιτήδειοι χρησιμοποιώντας την εν λόγω εφαρμογή καλούν ανυποψίαστους πολίτες, παριστάνοντας ψευδώς ότι επικοινωνούν εκ μέρους της Αστυνομίας. Η επικοινωνία γίνεται στην αγγλική γλώσσα και οι επιτήδειοι ζητούν από τους πολίτες όπως δηλώσουν διάφορα προσωπικά και τραπεζικά στοιχεία τους (επίδειξη ταυτότητας, χρεωστικές / πιστωτικές κάρτες κ.τ.λ.). Οι προαναφερόμενες τηλεφωνικές κλήσεις είναι προϊόν απάτης και δεν προέρχονται από την Αστυνομία. Το κοινό καλείται όπως είναι ιδιαίτερα προσεκτικό και: α) να μην ανταποκρίνεται στις κλήσεις και τις οδηγίες που λαμβάνουν από τους επιτήδειους, β) να μην ανταποκρίνεται σε τυχόν συνδέσμους (links) που αποστέλλονται, γ) να μην αποκαλύπτει σε άλλους τους κωδικούς τους οποίους τυχόν έλαβε στο κινητό τηλέφωνό του.

Δανία – Περιστατικά παραβίασης

Προτάσεις για το πως μπορούν να αποφευχθούν δέκα χαρακτηριστικές περιπτώσεις περιστατικών παραβίασης προσωπικών δεδομένων δημοσίευσε η εποπτική αρχή. Ανάμεσα σε αυτές περιλαμβάνεται το σενάριο της παράδοσης σε τρίτο ή δημοσίευσης εγγράφων από εργαζόμενο τα οποία περιέχουν προσωπικά δεδομένα, χωρίς αυτό να είναι επιτρεπτό. Κατά τις συστάσεις της αρχής, το προαναφερθέν σενάριο μπορεί να αποφευχθεί εφόσον οι εργαζόμενοι λαμβάνουν συστάσεις, ώστε να ελέγχουν οι ίδιοι προσωπικά το εκάστοτε υλικό προ της διάχυσής του και να διαγράφουν προσωπικά δεδομένα τα οποία τυχόν περιλαμβάνονται σε αυτό. Σε ορισμένες περιπτώσεις μάλιστα πρέπει να προβλέπονται διαδικασίες ελέγχου του υλικού και από δεύτερο εργαζόμενο, με τον ίδιο σκοπό, προ της κοινολόγησής του.

Η.Π.Α. – Δεδομένα τοποθεσίας

Με την απαγόρευση κοινολόγησης ή πώλησης ευαίσθητων δεδομένων τοποθεσίας θα κληθεί να συμμορφωθεί εταιρεία η οποία δραστηριοποιείται ως μεσίτης δεδομένων (data broker), προκειμένου να διευθετήσει ισχυρισμούς της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) εναντίον της. Σύμφωνα με αυτούς, η εμπλεκόμενη εταιρεία προέβη στην πώληση δεδομένων τοποθεσίας τα οποία θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση των επισκέψεων ατόμων σε ευαίσθητες τοποθεσίες, όπως κλινικές υγείας και αναπαραγωγικής υγείας, χώρους θρησκευτικές λατρείας και χώρους προστασίας από την ενδοοικογενειακή βία. Πρόκειται για την πρώτη στα χρονικά απαγόρευση στη χρήση και πώληση ευαίσθητων δεδομένων τοποθεσίας, καθώς η επίμαχη πρακτική όχι μόνο παραβίαζε την ιδιωτικότητα των καταναλωτών, αλλά τους εξέθετε επίσης σε πιθανές δυσμενείς διακρίσεις, σωματική βία, συναισθηματική ταλαιπωρία και άλλες βλάβες.

Ιταλία – Φυσική κατάσταση

Οδηγίες για την προστασία των προσωπικών δεδομένων κατά τη χρήση εφαρμογών και συσκευών ιχνηλάτησης φυσικής κατάστασης (fitness tracker apps/devices) εξέδωσε η εποπτική αρχή. Αυτές οι εφαρμογές και συσκευές μπορούν να συλλέγουν και επεξεργάζονται πλήθος δεδομένων, όπως  τον καρδιακό ρυθμό κατά τη διάρκεια δραστηριοτήτων, την καθημερινή διαδρομή τρεξίματος, των αριθμό επαναλήψεων κατά την εκτέλεση ασκήσεων γυμναστικής, το βάρος, το ύψος, τη διατροφή, το επίπεδο άγχους και  τις ώρες ύπνου. Τα δεδομένα αυτά θα μπορούσαν να κοινολογηθούν σε τρίτους για σκοπούς τους οποίους ο χρήστης ενδέχεται να αγνοεί. Μεταξύ των συμβουλών οι οποίες παρέχονται είναι η απενεργοποίηση των δυνατότητων οι οποίες δεν αξιοποιούνται από τον χρήστη, ώστε να περιορισθεί η συλλογή των δεδομένων στο απολύτως απαραίτητο.

Χονγκ Κονγκ – Εργαζόμενοι

Στη δημοσίευση έκθεσης έρευνας για μη νόμιμη αποθήκευση και χρήση προσωπικών δεδομένων εργαζομένων / πρώην εργαζομένων από εργοδότες σε τέσσερις περιπτώσεις προέβη το αρμόδιο Γραφείο Επιτρόπου. Τα τελευταία πέντε έτη η εποπτική αρχή έλαβε κατά μέσο όρο περισσότερες από 100 καταγγελίες ανά έτος για ζητήματα διαχείρισης ανθρωπίνου δυναμικού. Στο πλαίσιο αυτής, προτείνεται στους εργοδότες να εφαρμόσουν προγράμματα διαχείρισης προσωπικών δεδομένων και να σχεδιάσουν στρατηγική εκπαίδευσης του προσωπικού σχετικά με την προστασία αυτών.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 4/01/2024

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Α.Π.Δ.Π.Χ. – Μείωση πόρων

Η μόνη χώρα στην Ευρώπη με αρνητική οικονομική στήριξη της αρμόδιας αρχής είναι η Ελλάδα. Αυτό επισημαίνει με δελτίο τύπου το Σωματείο Επιστημονικού Προσωπικού της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Σύμφωνα με τις κρίσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τη δεύτερη αξιολόγηση του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, των οποίων γίνεται επίκληση, μπορεί μεν όλες οι ευρωπαϊκές αρχές προστασίας δεδομένων να αντιμετωπίζουν προβλήματα ανθρώπινων και οικονομικών πόρων, μόνο όμως η Ελλάδα έχει μειώσει τους πόρους τους οποίους παρέχει στην ΑΠΔΠΧ και μάλιστα κατά 15% μεταξύ 2020 και 2024. Το δελτίο τύπου σημειώνει επίσης ότι τα έτη 2021-2023 ο προϋπολογισμός της αρμόδιας αρχής έχει περικοπεί δραματικά, όταν θα έπρεπε να συμβαίνει το ακριβώς αντίθετο.

Κύπρος – Κυβερνοασφάλεια

Η Αρχή Ψηφιακής Ασφάλειας διεξήγαγε για δεύτερη συνεχή χρονιά, στο πλαίσιο των αρμοδιοτήτων της, δύο παγκύπριες έρευνες με σκοπό τη συλλογή στοιχείων και πληροφοριών σχετικά με την κυβερνοασφάλεια στην κυπριακή επικράτεια. Η μια έρευνα απευθυνόταν σε πολίτες και η άλλη σε επιχειρήσεις. Διεξήχθησαν παράλληλα τους μήνες Οκτώβριο-Δεκέμβριο 2023 σε δείγμα 1006 πολιτών και 444 επιχειρήσεων διαφόρων τομέων. Σύμφωνα με τα αποτελέσματά τους, το 53% των πολιτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 25,9 επιθέσεις τον χρόνο. Ως προς τις επιχειρήσεις, το 49% αυτών δέχθηκε επίθεση / παραβίαση τους τελευταίους 12 μήνες, με μέσο όρο 1 επίθεση την εβδομάδα.

Η.Π.Α. – Αναγνώριση προσώπου

Την πενταετή απαγόρευση χρήσης τεχνολογίας αναγνώρισης προσώπου με σκοπό την παρακολούθηση θα κληθεί να εφαρμόσει μεγάλη αλυσίδα φαρμακείων της χώρας, κατόπιν κατηγοριών της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission) για αποτυχία εφαρμογής κατάλληλων διαδικασιών σε εκατοντάδες καταστήματά της. Κατά την αρμόδια αρχή, η αλυσίδα φαρμακείων χρησιμοποίησε από το 2012 μέχρι το 2020 τεχνολογία αναγνώρισης προσώπου σε σύστημα καμερών, με σκοπό να εντοπίζονται αυτόματα πρόσωπα τα οποία εισέρχονταν στα καταστήματα και εμπλέκονταν με κλοπές ή άλλη προβληματική συμπεριφορά. Λόγω μη λήψης των κατάλληλων μέτρων όμως, το σύστημα υπεδείκνυε εσφαλμένα ως κλέφτες ή ταραχοποιούς άτομα τα οποία ουδέποτε κατά το παρελθόν είχαν επιδείξει αντίστοιχη συμπεριφορά, με αποτέλεσμα να καλείται άνευ λόγου η αστυνομία ή αυτά να παρενοχλούνται από το προσωπικό του εκάστοτε καταστήματος.

Ιντερπόλ – Κέντρα κυβερνοαπάτης

Μεγάλη επιχείρηση της Ιντερπόλ (Operation Storm Makers II) κινητοποίησε αρχές επιβολής του νόμου σε 27 κράτη στην Ασία και σε άλλες περιοχές για την καταπολέμηση της εμπορίας ανθρώπων (human trafficking) και της παράνομης διακίνησης μεταναστών (migrant smuggling). H επιχείρηση εστίασε στην αυξανόμενη εμπορία ανθρώπων με προορισμό διαβόητα κέντρα κυβερνοαπάτης στην Νοτιανατολική Ασία. Σε αυτή τη μορφή εγκληματικής δράσης, τα θύματα παρασύρονται μέσω ψευδών αγγελιών εργασίας να ταξιδέψουν σε άλλη χώρα, στη συνέχεια δε υποχρεώνονται να διαπράξουν διαδικτυακές απάτες σε βιομηχανική κλίματα, ενώ υφίστανται τρομακτική σωματική κακοποίηση. Ενδεικτικά, προ της επιχείρησης, η Ιντεπόλ παρείχε υποστήριξη σε εθνικές αρχές αναφορικά με υπόθεση στην οποία 40 Μαλαισιανοί παρασύρθηκαν με ψευδείς υποσχέσεις για υψηλά αμειβόμενη εργασία και μετέβηκαν στο Περού, εκεί όμως υποχρεώθηκαν να διαπράττουν τηλεπικοινωνιακές απάτες.

Μαυρίκιος – Ιδιωτικότητα

Προτεραιότητα στην ανάπτυξη ενός ολοκληρωμένου νομικού πλαισίου για την προστασία της ιδιωτικότητας έχει δώσει η κυβέρνηση της χώρας, σύμφωνα με την Ana Brian Nougrères, Ειδική Εισηγήτρια του ΟΗΕ. Κατά τις διαπιστώσεις της, ο Μαυρίκιος αποτελεί πρότυπο για την περιοχή της Αφρικής, καθώς έχει ευθυγραμμιστεί με το πλαίσιο προστασίας της Ευρωπαϊκής Ένωσης. Παρά ταύτα, υπάρχει αναγκαιότητα για νέες νομοθετικές και κανονιστικές παρεμβάσεις, καθώς και για εφαρμογή μέτρων, ώστε να προωθηθεί περαιτέρω το δικαίωμα στην ιδιωτικότητα. Και αυτό, δεδομένου ότι λαμβάνονται παράλληλα μέτρα για τη δημιουργία μεγάλων βάσεων προσωπικών δεδομένων, όπως η λειτουργία συστημάτων βιντεοεπιτήρησης σε δημόσιους χώρους και η υποχρεωτική επανεγγραφή όλων των χρηστών συσκευών κινητής τηλεφωνίας, με σκοπό την καταπολέμηση της παράνομης διακίνησης ναρκωτικών.

Νορβηγία – Γυμναστήρια

Πρόστιμο ύψους περίπου 850.000 ευρώ επέβαλε η εποπτική αρχή σε μεγάλη αλυσίδα γυμναστηρίων της χώρας για πλήθος παραβάσεων του GDPR. Η αρχή κινητοποιήθηκε κατόπιν της υποβολής πολλών καταγγελιών πελατών των γυμναστηρίων την περίοδο 2018-2021, σύμφωνα με τις οποίες παραβιάζονταν τα δικαιώματα πρόσβασης και διόρθωσης των προσωπικών δεδομένων τους. Κατόπιν διερεύνησης της υπόθεσης, η εποπτική αρχή διαπίστωσε πώς πράγματι τα δικαιώματα ενημέρωσης, πρόσβασης και διόρθωσης προσωπικών δεδομένων των πελατών δεν τύγχαναν σεβασμού, παρανόμως δε λάμβανε χώρα η επεξεργασία δεδομένων σχετικά με το ιστορικό εκγύμνασής τους.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 21/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Γ.Ε.ΕΘ.Α. – Κυβερνοάμυνα

Με επιτυχία ολοκληρώθηκε στην αρχή του μήνα η διεξαγωγή στο Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) της άσκησης CYBER COALITION 2023, μιας από τις σημαντικότερες ασκήσεις κυβερνοάμυνας του ΝΑΤΟ. Η άσκηση  σχεδιάζεται και διευθύνεται από το Στρατηγείο Μετασχηματισμού (Allied Command Transformation) αυτού. Από ελληνικής πλευράς συντονίζεται και παρακολουθείται από τη Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ. Κατά τη διάρκειά της έλαβαν χώρα σενάρια που αφορούσαν στην αντιμετώπιση κυβερνοεπιθέσεων σε κρίσιμες υποδομές, οι οποίες υποστηρίζουν επιχειρήσεις του ΝΑΤΟ, ήτοι σε υποδομές δικτυακές, πληροφοριακές, παραγωγής ενέργειας και εφοδιαστικής αλυσίδας, καθώς και στη μόλυνση συστημάτων υποστήριξης ηλεκτρικών οχημάτων. Εξετάστηκαν επίσης θέματα νομικής φύσης τα οποία αφορούν στην θεώρηση των κυβερνοεπιθέσεων ως ενόπλων επιθέσεων. Η άσκηση διεξήχθη μέσω τηλεματικής με διασύνδεση σε εικονικό πεδίο ασκήσεων στο Κέντρο Αριστείας Συνεργατικής Κυβερνοάμυνας (Cooperative Cyber Defence Center of Excellence), στο Ταλίν της Εσθονίας.

Ευρωπόλ – Bluetooth

Για τη χρήση από το οργανωμένο έγκλημα έξυπνων ασύρματων ιχνηλατών με τεχνολογία Bluetooth (Bluetooth trackers), οι οποίοι συνήθως χρησιμοποιούνται για τον γεωεντοπισμό προσωπικών αντικειμένων και οχημάτων, προειδοποιεί η Ευρωπόλ. Παρά το ότι τα εν λόγω αντικείμενα σχεδιάστηκαν για την εύρεση απολεσθέντων κλειδιών και τσαντών ή την αποτροπή κλοπής οχήματος, πλέον χρησιμοποιούνται από τους εγκληματίες σε σχέση με παράνομα προϊόντα, πρωτίστως στη διακίνηση ναρκωτικών. Τα Bluetooth trackers είναι μικρότερα και φθηνότερα άλλων αντίστοιχων συσκευών, με μπαταρία μεγάλης διάρκειας ζωής – κατά προσέγγιση ένα με δύο έτη-, ενώ είναι και αδιάβροχα. Αποτελούν, λοιπόν, μια ελκυστική λύση για τους εγκληματίες, ώστε να παρακολουθούν την πορεία και να εντοπίζουν παράνομα εμπορεύματά τους. Στην περίπτωση των ναρκωτικών, έχει επιβεβαιωθεί ότι αυτά έχουν χρησιμοποιηθεί για την παρακολούθηση της πορείας του παράνομου φορτίου.

Ηνωμένο Βασίλειο – Ταλιμπάν

Πρόστιμο ύψους 350.000 λιρών επέβαλε το Γραφείο Επιτρόπου στο Υπουργείο Άμυνας για την κοινολόγηση προσωπικών δεδομένων ατόμων τα οποία επεδίωκαν τη μετεγκατάστασή τους στο Ηνωμένο Βασίλειο, κατόπιν της ανάκτησης από τους Ταλιμπάν του ελέγχου στο Αφγανιστάν το 2021. Το περιστατικό παραβίασης έλαβε χώρα με την αποστολή ηλεκτρονικής αλληλογραφίας από το Υπουργείο Άμυνας σε Αφγανούς οι οποίοι είχαν επιλεγεί για εκκένωση, με χρήση του πεδίου «προς». Έτσι, οι ηλεκτρονικές διευθύνσεις 245 ατόμων εκτέθηκαν σε όλους τους παραλήπτες, με 55 εξ αυτών να έχουν και φωτογραφίες στο προφίλ της ηλεκτρονικής αλληλογραφίας τους. Δύο μάλιστα απήντησαν σε όλους τους παραλήπτες, με τον ένα να αποστέλλει την τοποθεσία του. Τα εν λόγω δεδομένα, αν είχαν περιέλθει στην κατοχή των Ταλιμπάν, θα μπορούσαν να θέσουν σε κίνδυνο ζωής τους παραλήπτες. Και αυτό γιατί το ηλεκτρονικό μήνυμα είχε σταλεί από την υπηρεσία με αρμοδιότητα μετεγκατάστασης Αφγανών οι οποίο συνεργάστηκαν με την κυβέρνηση του Ηνωμένου Βασιλείου στην προ των Ταλιμπάν περίοδο. Κατόπιν ελέγχου, διαπιστώθηκε επίσης ότι δύο αντίστοιχα περιστατικά είχαν κατά τον ίδιο τρόπο λάβει χώρα λίγες ημέρες νωρίτερα.

Η.Π.Α. – Δέματα

Συμβουλές για την προστασία από απάτες μέσω της αποστολής ψευδών ειδοποιήσεων αποστολής και παράδοσης δεμάτων, ιδίως κατά την περίοδο των εορτών, παρέχει η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission). Οι εν λόγω ειδοποιήσεις αποστέλλονται μέσω ηλεκτρονικής αλληλογραφίας ή γραπτού μηνύματος. Αυτές μπορούν να αναφέρουν ότι μια απόπειρα παράδοσης ήταν ανεπιτυχής και να σας καλούν να πατήσετε σε σύνδεσμο, ώστε να προγραμματίσετε εκ νέου την παράδοση. Μπορούν επίσης να υποστηρίζουν ότι το δέμα σας είναι έτοιμο για αποστολή, αλλά θα πρέπει να ενημερώσετε τις προτιμήσεις αποστολής του. Στόχος των εγκληματιών είναι να πατήσετε τον σύνδεσμο, χωρίς να σκεφθείτε, ώστε στη συνέχεια να καταχωρίσετε δεδομένα σας, τα οποία θα χρησιμοποιηθούν από αυτούς σε βάρος σας, ή να εγκατασταθεί κακόβουλο λογισμικό στη συσκευή σας.

Τζαμάικα – Νέα νομοθεσία

Περίοδο χάριτος έξι μηνών για την υποχρεωτική εγγραφή τους στο Γραφείο του Επιτρόπου Πληροφοριών θα λάβουν οι οργανισμοί που επεξεργάζονται προσωπικά δεδομένα, παρά τη θέση σε εφαρμογή του νέου Νόμου για την Προστασία Δεδομένων (Data Protection Act) ήδη από την 1^η Δεκεμβρίου. Κατά δήλωση της αρμόδιας Υπουργού, η απόφαση λαμβάνεται κατόπιν αιτήματος πλήθος οργανισμών, ώστε να δοθεί περισσότερος χρόνος για τη συμμόρφωση με τη νέα νομοθεσία. Παρά ταύτα, όσοι οργανισμοί έχουν ήδη λάβει τα αναγκαία μέτρα και είναι έτοιμοι, ενθαρρύνονται να εγγραφούν αμέσως. Λοιποί οργανισμοί καλούνται να αξιοποιήσουν την περίοδο χάριτος, ώστε να συμμορφωθούν. Μεταξύ άλλων, δημόσιες αρχές, χρηματοπιστωτικά ιδρύματα, εκπαιδευτικά ιδρύματα, πάροχοι υπηρεσιών υγείας και πάροχοι υπηρεσιών ασφαλείας πρέπει να εγγραφούν κατά προτεραιότητα.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 7/12/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP, CompTIA ITF+

Ε.Υ.Π. – Ετήσια Έκθεση

Την Ετήσια Έκθεσή Προτεραιοτήτων και Τομέων Δράσης για την περίοδο Σεπτεμβρίου 2022 – Αυγούστου 2023 εξέδωσε η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Για τα ζητήματα κυβερνοασφάλειας και νέων τεχνολογιών, στην έκθεση επισημαίνεται, μεταξύ άλλων, ότι η ΕΥΠ ως Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) συνέβαλε στην πρόληψη, έγκαιρη προειδοποίηση και αντιμετώπιση κυβερνοεπιθέσεων, οι οποίες εκδηλώθηκαν σε βάρος δημοσίων φορέων της χώρας. Συνέταξε επίσης δεκάδες τεχνικές αναλύσεις για περιστατικά στον ελληνικό κυβερνοχώρο, τα οποία αφορούσαν κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), ηλεκτρονικό ψάρεμα (phishing), κακόβουλο λογισμικό (malware), παραβίαση δεδομένων (data breach), παραποίηση ιστοσελίδων (defacement), λυτρισμικό (ransomware), πειρατεία DNS (DNS hijacking), ύποπτη κυκλοφορία (suspicious traffic) και παραβιάσεις ηλεκτρονικών υποδομών. Επιπρόσθετα, πραγματοποίησε σειρά εκτιμήσεων ευπάθειας (vulnerability assessments) σε ιστοσελίδες, ιστότοπους και εφαρμογές δημοσίων φορέων.

Κύπρος – Ανοιχτό Πανεπιστήμιο

Πρόστιμο ύψους 45.000 ευρώ επέβαλε το Γραφείο Επιτρόπου στο Ανοιχτό Πανεπιστήμιο για περιστατικό κυβερνοεπίθεσης εναντίον αυτού, κυρίως λόγω μη εφαρμογής καταλλήλων μέτρων ασφαλείας. Oμάδα κακόβουλων χρηστών (hackers) δήλωσε μέσω της πλατφόρμας κοινωνικής δικτύωσης Twitter ότι έφερε την ευθύνη για την επίθεση, δίδοντας χρονικό περιθώριο στο πανεπιστήμιο για την καταβολή λύτρων, ώστε να επιστραφούν / μη δημοσιοποιηθούν τα αρχεία που είχαν διαρρεύσει από την επίθεση. Όταν το χρονικό περιθώριο για την καταβολή των λύτρων είχε παρέλθει, τα δεδομένα δημοσιεύθηκαν στο σκοτεινό διαδίκτυο (dark web). Μετά από πλήρη διερεύνηση του περιστατικού, διαπιστώθηκε ότι τα δεδομένα τα οποία διέρρευσαν αφορούσαν φοιτητές, απόφοιτους και άλλους συμβαλλόμενους του πανεπιστημίου, τα οποία βρίσκονταν προσωρινά αποθηκευμένα σε επηρεαζόμενο εξυπηρετητή και χρησιμοποιούνταν για διεκπεραίωση εργασιών από τους εργαζομένους του ιδρύματος.

Δανία – Μέτρα ασφαλείας

Κατάλογο με μέτρα ασφαλείας εξέδωσε η εποπτική αρχή για εταιρείες και οργανισμούς, ώστε μέσω της υιοθέτησής τους να επιτυγχάνεται η προστασία των προσωπικών δεδομένων κατά τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR. Ένα εξ αυτών αποτελεί ο έλεγχος της φυσικής πρόσβασης στα δεδομένα, ο οποίος μπορεί να αποτελέσει σημαντικό μέτρο προστασίας τους, είτε πρόκειται για δεδομένα σε ηλεκτρονική είτε σε φυσική μορφή. Αυτό το μέτρο μπορεί να λάβει τη μορφή του ελέγχου -στον χώρο υποδοχής του κτηρίου- της εισόδου μη εξουσιοδοτημένων ατόμων και της καταγραφής των επισκεπτών.

Ε.Ε. – Αστυνομική συνεργασία

Σε συμφωνία κατέληξαν το Συμβούλιο της Ευρωπαϊκής Ένωσης (ΕΕ) και το Ευρωπαϊκό Κοινοβούλιο για την προώθηση της αστυνομικής συνεργασίας στην Ευρώπη. Πρόκειται για επικείμενη αναβάθμιση του υπάρχοντος πλαισίου, του καλούμενου Prüm I. Σύμφωνα με αυτό, οι αρχές επιβολής του νόμου δύνανται να συμβουλεύονται τις εθνικές βάσεις δεδομένων άλλων κρατών μελών σχετικά με δεδομένα DNA, δακτυλοσκοπικά δεδομένα και δεδομένα για άδειες κυκλοφορίας οχημάτων. Κατόπιν της συμφωνίας, οι κατηγορίες των εν λόγω δεδομένων θα διευρυνθούν, ώστε να είναι εφικτές αναζητήσεις και για εικόνες προσώπων και αστυνομικά αρχεία. Εφόσον υπάρξει εθνική πρόβλεψη, δυνατή θα είναι και η αναζήτηση με σκοπό την εύρεση αγνοούμενου προσώπου ή την αναγνώριση ανθρώπινων λείψανων.

Η.Π.Α. – Κλωνοποίηση φωνής

Σε διενέργεια διαγωνισμού κατά της κακόβουλης κλωνοποίησης φωνής (voice cloning challenge) προβαίνει η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) της χώρας. Η μίμηση της φωνής τρίτων μέσω της χρήσης Τεχνητής Νοημοσύνης γεννά ελπίδες για ορισμένους, π.χ. όσους πάσχουν από απώλεια της φωνής τους λόγω ατυχήματος ή ασθένειας, αποτελεί όμως κίνδυνο για πολλούς άλλους, καθώς έχει προστεθεί στο οπλοστάσιο των εγκληματιών. Έτσι, μέσω αυτής, κακοποιός δύναται να μιμηθεί τη φωνή συγγενικού μας προσώπου, ώστε να μας καλέσει, να μας πείσει ότι πρόκειται για συγγενή μας και επικαλούμενος διάφορες δικαιολογίες, π.χ. έκτακτη νοσηλεία, να κατορθώσει να μας αποσπάσει χρήματα. Γι’ αυτόν τον λόγο η FTC καλεί τους διαγωνιζόμενους να υποβάλουν τη βέλτιστη προσέγγιση για την προστασία των πολιτών από τους κινδύνους της κακόβουλης χρήσης της κλωνοποίησης φωνής. Το έπαθλο για τον νικητή θα είναι 25.000 δολάρια.

Ισραήλ –Έξυπνες συσκευές

Συστάσεις για τη χρήση έξυπνων συσκευών σε οικίες δημοσίευσε η εποπτική αρχή της χώρας. Όπως σημειώνεται, η χρήση έξυπνων συσκευών στο σπίτι, ήτοι ηλεκτρονικών συσκευών εφοδιασμένων με σένσορες για τη συλλογή δεδομένων, όπως δεδομένα μετακίνησης, θερμοκρασία, ήχο κ.α., μπορεί να έχει σημαντικές συνέπειες στην ιδιωτικότητα. Ενδεικτικά, με αυτές εισάγονται συστήματα παρακολούθησης στον πιο ιδιωτικό χώρο ενός ατόμου, με ότι αυτό συνεπάγεται. Μεταξύ άλλων, συνιστάται κατά τον καθορισμό του χώρου δραστηριότητας μιας έξυπνης συσκευής, π.χ. μιας ρομποτικής σκούπας, να λαμβάνεται υπόψη ότι είναι δυνατή η εξαίρεση ευαίσθητων χώρων της οικίας.

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 23/11/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Ηλεκτρονικό εισιτήριο

Συνολικό πρόστιμο ύψους 50.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στον Οργανισμό Αστικών Συγκοινωνιών Αθηνών (ΟΟΣΑ). Το πρόστιμο αφορούσε παραβιάσεις στην προστασία των προσωπικών δεδομένων στο πλαίσιο λειτουργίας του Αυτόματου Συστήματος Συλλογής Κομίστρου, το οποίο αναφέρεται και με τον όρο ηλεκτρονικό εισιτήριο. Κατόπιν εκτάκτου επιτόπιου ελέγχου της εποπτικής αρχής και ακόλουθων ενεργειών της, διαπιστώθηκε ιδίως ότι ο ΟΟΣΑ δεν είχε καθορίσει ορθά τον χρόνο τήρησης των σχετικών προσωπικών δεδομένων, δεν είχε εκπονήσει έγκαιρα και ορθά εκτίμηση αντικτύπου για την προστασία των προσωπικών δεδομένων, δεν είχε λάβει όλα τα δέοντα μέτρα για την προστασία τους από τον σχεδιασμό και δεν τηρούσε ορθά αρχείο δραστηριοτήτων επεξεργασίας.

Κύπρος – Επενδυτική πλατφόρμα

Καταγγελία υποβλήθηκε στο Γραφείο Επιτρόπου Κύπρου σε βάρος εταιρείας η οποία διαχειρίζεται διαδικτυακή επενδυτική πλατφόρμα. Το παράπονο αφορούσε αίτημα πρόσβασης σε προσωπικά δεδομένα. Ο καταγγείλας είχε αιτηθεί όλη την αλληλογραφία και τις τηλεφωνικές ηχογραφήσεις επικοινωνιών του με το προσωπικό της εταιρείας. Όπως διαπιστώθηκε στο πλαίσιο της διερεύνησης της καταγγελίας, η εμπλεκόμενη εταιρεία δεν είχε τηρήσει την προθεσμία του ενός μήνα, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, για την ανταπόκριση στο αίτημα πρόσβασης, δεν είχε ικανοποιήσει μέρος του αιτήματος πρόσβασης στις τηλεφωνικές καταγραφές και είχε καθυστερήσει να απαντήσει στις επιστολές του Γραφείου Επιτρόπου προς αυτή. Για τους ανωτέρου λόγους επιβλήθηκε επίπληξη.

Γαλλία – Πολιτική επικοινωνία

Περισσότερες από 1.600 καταγγελίες υποβλήθηκαν στην εποπτική αρχή της χώρας για την αποστολή ενός μηνύματος ηλεκτρονικής αλληλογραφίας σε περίπου 2,4 εκ. δημοσίους υπαλλήλους. Το ηλεκτρονικό μήνυμα επιχειρούσε να εξηγήσει και να δικαιολογήσει τις επικείμενες αλλαγές στο καθεστώς συνταξιοδότησης, έχοντας ως αποστολέα του τον αρμόδιο Υπουργό Μετασχηματισμού και Λειτουργίας του Δημοσίου της χώρας. Η αποστολή του κατέστη εφικτή με τη χρήση των ηλεκτρονικών διευθύνσεων των παραληπτών, οι οποίες είχαν αντληθεί όμως από πλατφόρμα του κράτους με σκοπό λειτουργίας την αποστολή ενημερωτικών δελτίων για τη μισθοδοσία των δημοσίων υπαλλήλων. Όπως έκρινε η εποπτική αρχή, τα εμπλεκόμενα υπουργεία, ήτοι του αποστολέα υπουργού, αλλά και έτερου υπουργείου, το οποίο ήταν αρμόδιο για την πλατφόρμα, δεν είχαν δικαίωμα να χρησιμοποιήσουν τα εν λόγω προσωπικά δεδομένα για μια επικοινωνία η οποία είχε πολιτικό χαρακτήρα.

Ελβετία – Τεχνητή Νοημοσύνη

Στο πλαίσιο της διείσδυσης της Τεχνητής Νοημοσύνης στον οικονομικό και κοινωνικό βίο της χώρας, η εποπτική αρχή υπενθυμίζει ότι ο Ομοσπονδιακός Νόμος για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στην επεξεργασία των προσωπικών δεδομένων η οποία υποστηρίζεται από την Τεχνητή Νοημοσύνη. Σε σχέση με τις διεθνείς εξελίξεις σε αυτόν τον τομέα, σημειώνονται από την εποπτική αρχή το σχετικό Εκτελεστικό Διάταγμα του Προέδρου Τζο Μπάιντεν, οι σχετικές εργασίες της Ευρωπαϊκής Ένωσης για την υιοθέτηση ρυθμιστικού πλαισίου και οι εργασίες ειδικής επιτροπής του Συμβουλίου της Ευρώπης για μια συνθήκη-πλαίσιο για την Τεχνητή Νοημοσύνη. Ως προς την Ελβετία, αναφέρεται ότι αξιολογούνται διάφορες προσεγγίσεις για τη δέουσα ρύθμιση, αξιολογήσεις οι οποίες θα ολοκληρωθούν μέχρι το τέλος του 2024.

Η.Π.Α. – Τεχνητή Νοημοσύνη

Εκτελεστικό Διάταγμα εξέδωσε ο Πρόεδρος Τζο Μπάιντεν με σκοπό να διασφαλισθεί ότι οι ΗΠΑ θα πρωτοπορήσουν στην αξιοποίηση, αλλά και στη διαχείριση των κινδύνων της Τεχνητής Νοημοσύνης. Με αυτό προβλέπονται, μεταξύ άλλων, νέα πρότυπα για την ασφάλεια της Τεχνητής Νοημοσύνης, την προστασία της ιδιωτικότητας και άλλων δικαιωμάτων, την προάσπιση των καταναλωτών και των εργαζομένων, καθώς και την προώθηση της καινοτομίας και τους ανταγωνισμού. Πρόκειται για ενέργεια η οποία προστίθεται σε συναφείς προηγηθείσες, όπως τη δράση του Προέδρου η οποία οδήγησε στην εκούσια δέσμευση 15 κορυφαίων εταιρειών για ασφαλή και αξιόπιστη ανάπτυξη της Τεχνητής Νοημοσύνης. Αξιοσημείωτο είναι ότι στο πλαίσιο του Εκτελεστικού Διατάγματος ο Πρόεδρος καλεί το Κογκρέσο να υιοθετήσει διακομματική νομοθεσία για την προστασία των προσωπικών δεδομένων.

Λιχτενστάιν – Διαλογικοί πράκτορες

Οδηγίες για την προστασία των προσωπικών δεδομένων κατά τη λειτουργία διαλογικών πρακτόρων, των γνωστών ως chatbots, εξέδωσε η Αρχή Προστασίας Δεδομένων της χώρας. Υπενθυμίζεται ότι το chatbot είναι ένα σύστημα συνομιλίας το οποίο βασίζεται στη χρήση λογισμικού και με το οποίο καθίσταται εφικτή η αυτοματοποιημένη επικοινωνία με κείμενο ή φωνή σε φυσική γλώσσα. Χαρακτηριστική είναι η χρήση αυτών από τράπεζες και εταιρείες τηλεπικοινωνιών για την τηλεφωνική εξυπηρέτηση των πελατών τους, προτού ο καλών συνδεθεί, εφόσον χρειαστεί, με μέλος του προσωπικού τους. Απαντώνται επίσης  σε ιστοσελίδες για την έγγραφη υποβολή ερωτημάτων. Οι οδηγίες διατίθενται στην ιστοσελίδα της αρχής.