Εράνισμα προσωπικών δεδομένων – 14/2023
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 27/07/2023
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP
Α.Π.Δ.Π.Χ. – Παρακολουθήσεις
Δελτίο τύπου εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για τις ενέργειές της σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα. Σε αυτό, μεταξύ άλλων, παρέχονται στοιχεία για το modus operandi των δραστών κατά την απόπειρα εγκατάστασης του εν λόγω λογισμικού προς χρήστες κινητής τηλεφωνίας στην Ελλάδα. Η επίμαχη απόπειρα συνίσταται στην αποστολή μηνύματος SMS προς τον αριθμό κινητού τηλεφώνου ενός αποδέκτη-στόχου. Τα μηνύματα SMS αυτού του είδους περιέχουν σύντομο κείμενο και σύνδεσμο σε ιστοσελίδα, ο οποίος είναι παραπλανητικός, καθώς έχει μεγάλη ομοιότητα με μια πραγματική ιστοσελίδα. Στην περίπτωση κατά την οποία ο αποδέκτης του μηνύματος SMS ενεργοποιήσει τον σύνδεσμο που περιέχεται σε αυτό, επιλέγοντάς τον, τότε λαμβάνει χώρα εγκατάσταση του κατασκοπευτικού λογισμικού στη συσκευή του.
Κυβερνοασφάλεια – «Ψάρεμα»
Το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου phishing σε χρήστες ηλεκτρονικού ταχυδρομείου, κινητών τηλέφωνων αλλά και μέσων κοινωνικής δικτύωσης, σύμφωνα με την Εθνική Αρχή Κυβερνοασφάλειας. Ειδικότερα, λαμβάνονται ψευδή μηνύματα ηλεκτρονικής αλληλογραφίας (emails), τα οποία προσομοιώνουν αίτημα από την υπηρεσία eGov- KYC, ζητώντας στοιχεία επικοινωνίας από τον πολίτη. Περαιτέρω, τις τελευταίες ημέρες παρατηρείται αυξημένος αριθμός μηνυμάτων σχετικά με δήθεν επιστροφές φόρου ή δήθεν χορήγηση επιδομάτων. Οι πολίτες καλούνται να είναι ιδιαίτερα προσεκτικοί, όσο αληθοφανής και αν φαίνεται ο αποστολέας ή τα μηνύματα που λαμβάνουν, ώστε να μην πέσουν θύματα επιτήδειων, οι οποίοι δρουν με αυτό τον τρόπο. Υπενθυμίζεται ότι το phishing συνιστά κακόβουλη ενέργεια εξαπάτησης των χρηστών του διαδικτύου.
E.E. – Τουρισμός
Στην παρουσίαση των δομικών στοιχείων ενός κοινού ευρωπαϊκού χώρου δεδομένων για τον τουρισμό προέβη η Ευρωπαϊκή Επιτροπή. Ο εν λόγω χώρος δεδομένων, όταν υλοποιηθεί, θα επιτρέψει στις τουριστικές επιχειρήσεις και στις δημόσιες αρχές να ανταλλάσσουν ευρύ φάσμα δεδομένων με σκοπό την ενημέρωση σχετικά με την ανάπτυξη καινοτόμων τουριστικών υπηρεσιών, τη βελτίωση της βιωσιμότητας του τουριστικού οικοσυστήματος και την ενίσχυση της οικονομικής ανταγωνιστικότητάς του. Έτσι, για παράδειγμα, ένας ταξιδιωτικός πράκτορας θα έχει καλύτερη εικόνα των προσφορών σε διαφορετικές περιοχές.
Η.Π.Α. – Διαβιβάσεις
Αίρονται τα εμπόδια τα οποία αντιμετώπιζαν επιχειρήσεις εντός της Ευρωπαϊκής Ένωσης (ΕΕ) για τη διαβίβαση προσωπικών δεδομένων στις ΗΠΑ, κατόπιν έκδοσης σχετικής απόφασης επάρκειας για το πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ από την Ευρωπαϊκή Επιτροπή. Η απόφαση καταλήγει στο συμπέρασμα ότι οι ΗΠΑ εξασφαλίζουν επαρκές επίπεδο προστασίας, το οποίο είναι συγκρίσιμο με εκείνο της ΕΕ, για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ σε εταιρείες των ΗΠΑ βάσει του νέου πλαισίου. Χάρη στη νέα απόφαση επάρκειας, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διοχετεύονται με ασφάλεια από την ΕΕ στις εταιρείες των ΗΠΑ που συμμετέχουν στο πλαίσιο, χωρίς να χρειάζεται να υπάρχουν πρόσθετες εγγυήσεις για την προστασία των δεδομένων.
Ιταλία – Άσεμνο υλικό
Μια από τις μεγαλύτερες ιστοσελίδες πορνογραφικού υλικού στο διαδίκτυο θέτει στο στόχαστρο της η εποπτική αρχή. Σε συνέχεια υποβληθείσας καταγγελίας, η εταιρεία που διαχειρίζεται την ιταλική έκδοση της ιστοσελίδας καλείται να παρέχει πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων των επισκεπτών αυτής, στην οποία προβαίνει. Ο έλεγχος εστιάζεται κυρίως στο αν λαμβάνει χώρα κατάρτιση προφίλ των χρηστών και εάν ναι, με ποια μέσα και για ποιους σκοπούς. Ερευνάται επίσης αν νομίμως εγκαθίστανται cookies στα τερματικά των επισκεπτών και χρησιμοποιούνται αλλά εργαλεία παρακολούθησης αυτών, αν, και υπό ποιες προϋποθέσεις, διαβιβάζονται προσωπικά δεδομένα των χρηστών σε τρίτα μέρη, αν έχουν ληφθεί μέτρα εξακρίβωσης της ηλικίας των επισκεπτών και πώς αυτοί μπορούν να ασκήσουν τα δικαιώματά τους τα οποία απορρέουν από τη νομοθεσία για την προστασία των προσωπικών δεδομένων.
Χονγκ Κονγκ – Περιστατικά παραβίασης
Νέο οδηγό για τον χειρισμό περιστατικών παραβίασης προσωπικών δεδομένων και τις επακόλουθες γνωστοποιήσεις εξέδωσε η εποπτική αρχή. Όλοι οι οργανισμοί οι οποίοι θα αντιμετωπίσουν περιστατικό παραβίασης καλούνται να ακολουθήσουν πέντε βασικά βήματα για τον επιτυχή χειρισμό του: α) άμεση συλλογή των αναγκαίων πληροφοριών, β) περιορισμός του περιστατικού παραβίασης, γ) εκτίμηση του κινδύνου βλάβης, δ) αξιολόγηση του κατά πόσο απαιτούνται γνωστοποιήσεις και ε) τεκμηρίωση του περιστατικού παραβίασης. Κατά τον αρμόδιο Επίτροπο ο αριθμός των σχετικών συμβάντων έχει αυξηθεί τα τελευταία έτη, με οργανισμούς όλων των μεγεθών και τομέων δραστηριότητας να έχουν καταστεί θύματα κυβερνοεπιθέσεων, ανθρώπινων λαθών και εν γένει ανάλογων συμβάντων. Στον οδηγό, ως ενδεικτικό παράδειγμα περιστατικού παραβίασης αναφέρεται ιδίως η αποστολή email με προσωπικά δεδομένα σε λάθος παραλήπτη.