Εράνισμα προσωπικών δεδομένων – 10/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 27/05/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Α.Π.Δ.Π.Χ. – Αυτοδιαγνωστικοί έλεγχοι
Ανακοίνωση εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αναφορικά με τους αυτοδιαγνωστικούς ελέγχους («self-tests») στο πλαίσιο διαχείρισης της πανδημίας. Όπως επισημαίνεται, οι υποβαλλόμενοι στους διαγνωστικούς ελέγχους μπορούν για την επεξεργασία των προσωπικών δεδομένων τους, που πραγματοποιείται μέσω της δήλωσης του αποτελέσματος αυτών στην ειδική πλατφόρμα self-testing.gov.gr, να ασκούν τα σχετικά δικαιώματά τους στον εκάστοτε υπεύθυνο της εν λόγω επεξεργασίας. Πρόκειται σε όλες τις περιπτώσεις για την ΗΔΙΚΑ ΑΕ και επιπροσθέτως το Υπουργείο Εργασίας (απασχολούμενοι στον ιδιωτικό τομέα), το Υπουργείο Εσωτερικών (απασχολούμενοι στο δημόσιο τομέα), το Ναυτικό Απομαχικό Ταμείο (ναυτικοί), το Υπουργείο Εσωτερικών και το Υπουργείο Παιδείας (θρησκευτικοί λειτουργοί). Οι λοιπές κατηγορίες που μπορούν να απευθύνονται μόνο στην ΗΔΙΚΑ ΑΕ είναι μαθητές, εκπαιδευτικοί, δικαστές, εισαγγελικοί λειτουργοί, φοιτητές, διδακτικό και λοιπό προσωπικό ΑΕΙ.
Κύπρος – Μέτρα COVID-19
Σε σειρά ερωτημάτων απαντά το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) για την εφαρμογή των μέτρων αναφορικά με τον COVID-19 και την προστασία των προσωπικών δεδομένων. Στο ερώτημα αν μπορεί εργοδότης να υποχρεώσει εργαζόμενο να εμβολιαστεί ή να λάβει ενημέρωση ότι ο τελευταίος έχει εμβολιαστεί, το Γραφείο Επιτρόπου απαντά κατά κανόνα αρνητικά. Στο ερώτημα αν η επίδειξη του πιστοποιητικού εμβολιασμού συνιστά επεξεργασία προσωπικών δεδομένων, το Γραφείο Επιτρόπου απαντά και εδώ αρνητικά, εφόσον όμως δεν λαμβάνει χώρα καταγραφή ή καταχώρηση οποιασδήποτε πληροφορίας σε ηλεκτρονικό ή έντυπο σύστημα αρχειοθέτησης από το πρόσωπο στο οποίο το πιστοποιητικό επιδεικνύεται.
Αφρική – Κυβερνοέγκλημα
Στη δημιουργία νέας υπηρεσίας κατά του κυβερνοεγκλήματος («cybercrime operations desk») προβαίνει η INTERPOL, για να ενισχύσει την ικανότητα 49 κρατών της Αφρικής να καταπολεμήσουν το έγκλημα στον κυβερνοχώρο. Η νέα υπηρεσία για την Αφρική θα έχει ως στόχο τη διαμόρφωση μιας περιφερειακής στρατηγικής, ώστε να εκδηλωθούν συντονισμένες ενέργειες κατά των κυβερνοεγκληματιών. Η πρωτοβουλία χρηματοδοτείται από το Ηνωμένο Βασίλειο. Όπως δήλωσε ο Γενικός Γραμματέας της INTERPOL Jürgen Stock, δοθέντος ότι περισσότερα από 4,5 δις άτομα χρησιμοποιούν το διαδίκτυο, πλέον του ημίσεος της ανθρωπότητας διατρέχει τον κίνδυνο να καταστεί θύμα του κυβερνοεγκλήματος ανά πάσα στιγμή. Επομένως, αναγκαία είναι μια ενιαία και ισχυρή αντίδραση απέναντι σε αυτό το ενδεχόμενο.
Γαλλία – Ετήσια έκθεση
Την ετήσια έκθεσή της για το 2020 δημοσίευσε η Αρχή Προστασίας Δεδομένων της Γαλλίας. Όπως υπογραμμίζεται, κατά το επίμαχο έτος υποβλήθηκαν 13.585 καταγγελίες, αριθμός αυξημένος κατά 62,5% σε σύγκριση με το χρονικό σημείο θέσης σε εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, το 2018. To γεγονός αυτό καταδεικνύει ότι οι Γάλλοι πολίτες κατανοούν ολοένα και περισσότερο τα δικαιώματά τους ως προς την επεξεργασία των προσωπικών δεδομένων τους. Εξ αυτών, 4.528 καταγγελίες εξετάσθηκαν αμέσως, 9.057 όμως απαίτησαν πρόσθετες ενέργειες. Περαιτέρω, κατά το ίδιο έτος η εποπτική αρχή πραγματοποίησε 247 ελέγχους και επέβαλε πρόστιμα συνολικού ύψους περίπου 138.000.000 ευρώ. Οι επιβληθείσες κυρώσεις αφορούσαν, μεταξύ άλλων, τη μη δέουσα λήψη μέτρων ασφαλείας.
Ηνωμένο Βασίλειο – Χείμαρρος αλληλογραφίας
Όχι ένα, όχι δύο, αλλά περίπου 4.000.000 μηνύματα ηλεκτρονικής αλληλογραφίας με διαφημιστικό περιεχόμενο απέστειλε παρανόμως εταιρεία στο Ηνωμένο Βασίλειο σε διάστημα ενός έτους. Όπως διαπίστωσε η αρμόδια εποπτική αρχή, τα μηνύματα ηλεκτρονικής αλληλογραφίας στάλθηκαν σε πελάτες οι οποίοι δεν επιθυμούσαν τη λήψη τους. Κατόπιν καταγγελιών, κινήθηκαν οι σχετικές διαδικασίες που κατέληξαν στην επιβολή προστίμου ύψους 90.000 λιρών στην εμπλεκόμενη εταιρεία. Τα μηνύματα αφορούσαν τα δώρα που προσέφερε η εταιρεία στην περίπτωση πραγματοποίησης αγορών στο διαδίκτυο με κάρτα της, καθώς και τη χρήση της ηλεκτρονικής εφαρμογής της. O ισχυρισμός της εταιρείας ότι το περιεχόμενό τους αφορούσε την εξυπηρέτηση των πελατών και όχι προωθητικές ενέργειες δεν έγινε δεκτός.
Η.Π.Α. – Λυτρισμικό
Συμβουλές και τακτικές για την αντιμετώπιση κακόβουλου λογισμικού το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση (λυτρισμικό ή «ransomware»), εξέδωσε το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας («National Institute of Standards and Technology») των ΗΠΑ. Μεταξύ άλλων, συστήνεται η συνεχής χρήση λογισμικού προστασίας από ιούς («antivirus»), το οποίο πρέπει να είναι ρυθμισμένο έτσι, ώστε να ελέγχει αυτομάτως μηνύματα ηλεκτρονικής αλληλογραφίας και αφαιρούμενα μέσα για λυτρισμικό και άλλο κακόβουλο λογισμικό. Προτείνεται επίσης η απαγόρευση ή η περιορισμένη χρήση προσωπικών συσκευών στα δίκτυα οργανισμού, καθώς και για τηλεργασία ή εν γένει εξ αποστάσεως πρόσβαση, εκτός αν έχουν ληφθεί πρόσθετα μέτρα ασφαλείας.