Εράνισμα προσωπικών δεδομένων – 14/2021
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 22/07/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Α.Π.Δ.Π.Χ. – Ενημερωτικό δελτίο
Προ ολίγων ημερών αναρτήθηκε στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) το 33ο τεύχος του ενημερωτικού δελτίου της. Πρόκειται για μια τακτική πηγή περιεκτικής πληροφόρησης, στην οποία εκτίθεται περιοδικά το έργο της εποπτικής αρχής. Περιέχει σύνοψη των τελευταίων αποφάσεων της, ευρωπαϊκά νέα, παρουσίαση της σχετικής επικαιρότητας, στατιστικά στοιχεία, πρόσφατες δημοσιεύσεις και εκδηλώσεις. Όπως υπογραμμίζεται, κατά την περίοδο από τις 22 Απριλίου έως τις 12 Ιουλίου η ΑΠΔΠΧ έλαβε 278 καταγγελίες για παραβάσεις του πλαισίου προστασίας των προσωπικών δεδομένων, ήτοι κατά μέσο όρο πάνω από 3 καταγγελίες την ημέρα. Κατά την ίδια περίοδο, γνωστοποιήθηκαν στην ελληνική εποπτική αρχή 59 περιστατικά παραβίασης προσωπικών δεδομένων.
Κυβερνοασφάλεια – Απομακρυσμένη εργασία
Εγχειρίδιο κυβερνοασφάλειας με βέλτιστες πρακτικές για την προστασία και την ανθεκτικότητα των πληροφοριακών συστημάτων εκπόνησε και δημοσίευσε πρόσφατα η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) του Υπουργείου Ψηφιακής Διακυβέρνησης. Το εγχειρίδιο διατίθεται δωρεάν στην ιστοσελίδα της ΕΑΚ για τους οργανισμούς του δημοσίου τομέα, καθώς και τις μεσαίες και μεγάλες ιδιωτικές επιχειρήσεις. Σκοπός του είναι η ενίσχυση της προστασίας τους από τις συνεχώς εξελισσόμενες απειλές του κυβερνοχώρου. Ειδικό κεφάλαιο περιλαμβάνεται για την απομακρυσμένη εργασία, όπου επισημαίνεται ότι το σχετικό μοντέλο εργασίας κατά την πανδημία φαίνεται ότι θα παραμείνει σε μεγάλο βαθμό και μετά το τέλος αυτής. Έτσι, προσδιορίζονται οι νέοι κίνδυνοι που δημιουργούνται και προτείνονται μέτρα προστασίας τόσο για τους φορείς όσο και για τους τηλεργαζόμενους.
Ηνωμένο Βασίλειο – Υπουργική αλληλογραφία
Έρευνα για την τυχόν χρήση ιδιωτικών καναλιών επικοινωνίας στο Υπουργείο Υγείας και Κοινωνικής Φροντίδας του Ηνωμένου Βασιλείου εκκίνησε η Αρχή Προστασίας Δεδομένων της χώρας. Όπως ανακοινώθηκε, οι κατηγορίες για τη χρήση από υπουργούς και ανώτατους κρατικούς αξιωματούχους ιδιωτικών λογαριασμών ηλεκτρονικής αλληλογραφίας και προσωπικών εφαρμογών ανταλλαγής μηνυμάτων στο πλαίσιο άσκησης ευαίσθητων κρατικών καθηκόντων προκάλεσαν ανησυχία. Και αυτό γιατί γεννώνται ζητήματα ασφάλειας προσωπικών δεδομένων, αλλά και δημιουργούνται κίνδυνοι μη διατήρησης επίσημων αρχείων αναφορικά με τη διαδικασία λήψης αποφάσεων. Οι εν λόγω κίνδυνοι θέτουν μάλιστα το ζήτημα ενδεχόμενης απουσίας διαφάνειας σε μια εξαιρετικά κρίσιμη περίοδο για τους πολίτες. Τα αποτελέσματα της οικείας έρευνας αναμένονται εν ευθέτω χρόνω.
Κολοράντο – Νέα νομοθεσία
Τρίτη πολιτεία των ΗΠΑ που υιοθετεί εκτενές νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων γίνεται το Κολοράντο, μετά την Καλιφόρνια και τη Βιρτζίνια. Η νέα νομοθεσία εφαρμόζεται σε οντότητες που δραστηριοποιούνται επιχειρηματικά ή παράγουν/προσφέρουν εμπορικά προϊόντα/υπηρεσίες τα οποία απευθύνονται σε κατοίκους του Κολοράντο. Περαιτέρω, πρέπει να λαμβάνει χώρα επεξεργασία προσωπικών δεδομένων τουλάχιστον 100.000 καταναλωτών κατά τη διάρκεια ενός ημερολογιακού έτους από την εκάστοτε οντότητα ή αυτή να αποκομίζει έσοδα/λαμβάνει εκπτώσεις από την πώληση προσωπικών δεδομένων και να επεξεργάζεται προσωπικά δεδομένα τουλάχιστον 25.000 καταναλωτών. Οι τελευταίοι οπλίζονται με σειρά δικαιωμάτων, όπως το δικαίωμα πρόσβασης στα προσωπικά δεδομένα τους, το δικαίωμα διόρθωσης και το δικαίωμα διαγραφής.
Πορτογαλία – Διαδηλώσεις
Τα προσωπικά δεδομένα προσώπων που οργάνωναν διαδηλώσεις φέρεται να διαβίβαζε παρανόμως σε τρίτους ο Δήμος της Λισαβόνας, όπως καταρχάς διαπίστωσε η εθνική Αρχή Προστασίας Δεδομένων. Δεδομένου ότι οι οργανωτές διαδηλώσεων υπέβαλαν τα στοιχεία τους στο Δήμο, προκειμένου αυτές να πραγματοποιηθούν, ο τελευταίος φέρεται να τα διαβίβαζε με τη σειρά του σε διπλωματικές αντιπροσωπείες και αλλοδαπές αρχές που ενδιαφέρονταν. Όπως όμως διαπίστωσε η εποπτική αρχή, το σχετικό νομοθετικό πλαίσιο επιτρέπει τη γνωστοποίηση πληροφοριών σχετικά με το αντικείμενο, την ημερομηνία, το χρόνο, τον τόπο και την πορεία της διαδήλωσης, όχι όμως και τη διαβίβαση προσωπικών δεδομένων. Τα τελευταία μάλιστα θεωρούνται εξαιρετικά ευαίσθητα, καθώς αποκαλύπτουν πολιτικές, φιλοσοφικές ή θρησκευτικές απόψεις και πεποιθήσεις. Η έκδοση της οριστικής απόφασης αναμένεται.
INTERPOL– Λυτρισμικό
Την αναγκαιότητα οι αστυνομικές αρχές ανά τον κόσμο να δημιουργήσουν έναν παγκόσμιο συνασπισμό με εταίρους του κλάδου, ώστε να αποτρέψουν μια ενδεχόμενη πανδημία επιθέσεων λυτρισμικού τονίζει ο Γενικός Γραμματέας της INTERPOL Jürgen Stock. Υπενθυμίζεται ότι το λυτρισμικό αποτελεί κακόβουλο λογισμικό το οποίο εγκαθίσταται σε υπολογιστικό σύστημα και κρυπτογραφεί τα δεδομένα του, ώστε στη συνέχεια να απαιτηθεί η καταβολή χρημάτων για την επαναφορά τους στην προτέρα κατάσταση («ransomware»). Κατά τον Γενικό Γραμματέα, το μέγεθος της απειλής είναι τέτοιο, ώστε απαιτείται πλέον διεθνής συνεργασία, όπως αυτή που εκδηλώνεται για την αντιμετώπιση της τρομοκρατίας ή της μαφίας. Όπως, κατέδειξε σχετική έρευνα, κατά το 2020 οι εγκληματίες απεκόμισαν 350 εκ. δολάρια από πληρωμές λόγω επίθεσης λυτρισμικού. Πρόκειται για ετήσια αύξηση σε ποσοστό 311%.