Εράνισμα προσωπικών δεδομένων – 11/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 10/06/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ευχές

Την Ολομέλεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) θα απασχολήσει προσεχώς το ζήτημα της μαζικής αποστολής ευχών από πολιτικό. Σύμφωνα με καταγγελία που υποβλήθηκε ενώπιον της και αναμένεται να εξετασθεί, πολίτης διαμαρτυρήθηκε για τη λήψη πασχαλινών ευχών στην ηλεκτρονική διεύθυνσή του από πρόσωπο με έντονη δράση στην τοπική αυτοδιοίκηση, χωρίς ουδέποτε ο ίδιος να έχει συγκατατεθεί ως προς τη λήψη σχετικών μηνυμάτων. Το ερώτημα που τίθεται είναι αν η εν λόγω δραστηριότητα μπορεί να θεωρηθεί πολιτική επικοινωνία, με αποτέλεσμα να απαιτείται κατά κανόνα η συγκατάθεση του αποδέκτη της, ώστε να πραγματοποιηθεί νομίμως. Κατά την καταγγελλόμενη, η αποστολή των ευχών αποτελεί εκδήλωση κοινωνικής αβρότητας και ευπρέπειας, χωρίς να συνιστά πολιτική επικοινωνία.

Κύπρος – «Cookies»

Τη διενέργεια ελέγχων σε διαδικτυακούς τόπους, οι οποίοι κάνουν χρήση cookies, εκκινεί το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) από τις 22 Ιουνίου. Υπενθυμίζεται ότι τα «cookies» αποτελούν μικρά αρχεία κειμένου που αποθηκεύονται από έναν δικτυακό τόπο στον υπολογιστή ή στη φορητή συσκευή του επισκέπτη. Τα εν λόγω «μπισκότα» μπορούν να χρησιμοποιηθούν ως μέσο παρακολούθησης της συμπεριφοράς του επισκέπτη και κατάρτισης προφίλ του στο διαδίκτυο. Για την εγκατάστασή τους απαιτείται υπό προϋποθέσεις η συγκατάθεση του χρήστη. Όπως επισημαίνει το Γραφείο Επιτρόπου, παρά τις υποδείξεις του, μεγάλος αριθμός ιστοσελίδων δεν έχει λάβει ακόμη τα δέοντα μέτρα. Δυστυχώς, παρόμοια είναι και η κατάσταση στην Ελλάδα, όπου πλήθος ιστοσελίδων επιδεικνύει άγνοια ή αδιαφορία για το ρυθμιστικό πλαίσιο.

Δ.Ε.Ε.Ι. – Γενέθλια GDPR I

Σημαντικά στατιστικά στοιχεία για την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, παρουσίασε η Διεθνής Ένωση Επαγγελματιών Ιδιωτικότητας («International Association of Privacy Professionals») με αφορμή τα γενέθλια των τριών ετών εφαρμογής του. Όπως αναφέρεται, κατά τα τρία αυτά έτη επιβλήθηκαν περισσότερα από 630 πρόστιμα τα οποία υπερβαίνουν σε συνολικό ύψος τα 283 εκ. ευρώ στις χώρες εφαρμογής του, ήτοι στα κράτη μέλη της Ευρωπαϊκής Ένωσης, τη Νορβηγία, την Ισλανδία και το Λίχτενσταϊν. Η υιοθέτησή του δημιούργησε κύμα υπέρ της προστασίας των προσωπικών δεδομένων σε παγκόσμια κλίμακα. Χαρακτηριστικά, προ της εφαρμογής του, 127 κράτη είχαν σχετικό νομοθετικό πλαίσιο, αριθμός που σήμερα έχει αυξηθεί στα 144 κράτη.

Κίνα – Νέα νομοθεσία

Τα σημαντικότερα σημεία του σχεδίου νόμου για την προστασία των προσωπικών δεδομένων στην Κίνα παρουσιάζει σε ειδική θεματική ιστοσελίδα η Αρχή Προστασίας Δεδομένων του Χονγκ Κονγκ. Κατά τη σχετική παρουσίαση, το νομοσχέδιο βρίσκεται αυτή τη στιγμή σε δεύτερο γύρο δημόσιας διαβούλευσης. Σύμφωνα με τις ρυθμίσεις του, η επεξεργασία των προσωπικών δεδομένων πρέπει να ακολουθεί τις αρχές του «ελαχίστου αναγκαίου» και του «ελαχίστου αντικτύπου στα δικαιώματα και τα συμφέροντα των ατόμων». Πέραν του ζητήματος του πότε είναι νόμιμη η επεξεργασία, το νομοσχέδιο ρυθμίζει επίσης θέματα διεθνών διαβιβάσεων προσωπικών δεδομένων, υποχρεώσεων μεγάλων διαδικτυακών πλατφορμών και κυρώσεων για την περίπτωση των παραβιάσεων. Δεν προβλέπεται όμως η λειτουργία Αρχής Προστασίας Δεδομένων.

Λιθουανία – Γενέθλια GDPR II

Ανακοίνωση εξέδωσε για τα γενέθλια του GDPR και η Αρχή Προστασίας Δεδομένων της Λιθουανίας. Όπως σημειώνεται, οι πολίτες είναι πλέον ενημερωμένοι ότι ο Γενικός Κανονισμός επιβάλλει υποχρεώσεις σε όσους επεξεργάζονται προσωπικά δεδομένα και προβλέπει αντίστοιχα δικαιώματα. Ως προς την ασφάλεια  των προσωπικών δεδομένων, το ανθρώπινο λάθος εξακολουθεί να αποτελεί τον αδύναμο κρίκο. Έμφαση απαιτείται να δοθεί επίσης στην επεξεργασία που λαμβάνει χώρα στο πλαίσιο των εργασιακών σχέσεων. Ειδικά για τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ), θέση κλειδί που προβλέπει ο GDPR εντός του εκάστοτε οργανισμού για την ορθή εφαρμογή του πλαισίου, κατά την τριετή περίοδο η εποπτική αρχή ενημερώθηκε για τον ορισμό 2.670 ατόμων ως ΥΠΔ.

Τουρκία – Περιστατικό παραβίασης

Συνολικό πρόστιμο ύψους 600.000 τουρκικών λιρών επέβαλε η Αρχή Προστασίας Δεδομένων της Τουρκίας σε νοσοκομείο λόγω περιστατικού παραβίασης. Στην εν λόγω υπόθεση φάκελοι ασθενών μεταφέρθηκαν παρανόμως εκτός του νοσοκομείου από μέλη του προσωπικού του. Το περιστατικό αφορούσε πλήθος προσωπικών δεδομένων 789 ασθενών, όπως τα στοιχεία ταυτότητας και επικοινωνίας τους, καθώς και δεδομένα υγείας τους. Το νοσοκομείο δεν είχε λάβει τα δέοντα μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων, λαμβανομένου υπόψη ότι μη εξουσιοδοτημένα πρόσωπα μπορούσαν να εισέλθουν στο χώρο τήρησης των φακέλων ασθενών και να αφαιρέσουν αυτούς, χωρίς να έχουν λάβει σχετική άδεια. Περαιτέρω, μέλη του προσωπικού δεν είχαν εκπαιδευθεί για ζητήματα προστασίας προσωπικών δεδομένων, παρά το ότι αυτό ήταν απαραίτητο.