Εράνισμα προσωπικών δεδομένων – 18/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 16/09/2021

Δ.Δ.Η.Ε. – Παραπλανητικά μηνύματα

Υπόθεση διασποράς ψευδών ειδήσεων μέσω παραπλανητικών σύντομων μηνυμάτων κειμένου («SMS») εξιχνιάστηκε από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Η δικογραφία που σχηματίστηκε αφορά 10 ημεδαπούς. Η ΔΔΗΕ ενήργησε κατόπιν παραγγελίας της Εισαγγελίας Πρωτοδικών Αθηνών αναφορικά με μηνύματα τα οποία έλαβε μεγάλος αριθμός πολιτών το καλοκαίρι του 2020. Σε αυτά εμφανίζονταν ψευδώς ως στοιχεία αποστολέα υπηρεσίες του Υπουργείου Εθνικής Άμυνας και της Ελληνικής Αστυνομίας, όπως «YP.AMYNAS», «YP.ETH.AM», «YPOURGEIO», «astynomia» και «G.E.S.». Οι αποδέκτες των μηνυμάτων καλούνταν να παρουσιασθούν στο αστυνομικό τμήμα της περιοχής τους, προκειμένου να παραλάβουν φύλλο πορείας, δήθεν λόγω επιστράτευσης. Τα στοιχεία των δραστών ταυτοποιήθηκαν χάρη ιδίως σε διαδικτυακή – ψηφιακή έρευνα των διαθέσιμων στοιχείων και δεδομένων.

Κύπρος – Έκδοση εισιτηρίων

Πρόστιμα ύψους 40.000 ευρώ έκαστο επιβλήθηκαν τελικά στα ποδοσφαιρικά σωματεία ΑΠΟΕΛ και Ομόνοια από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου). Αιτία ήταν το κενό ασφαλείας στις ιστοσελίδες των ομάδων, το οποίο είχε ως αποτέλεσμα μη εξουσιοδοτημένος επισκέπτης να μπορεί να ανακτά από αυτές προσωπικά δεδομένα φιλάθλων με αγορασμένα εισιτήρια παρακολούθησης αγώνων. Όπως κρίθηκε από το Γραφείο Επιτρόπου, έλαβαν χώρα παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως «GDPR», εξαιτίας της παράλειψης εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας. Πρόστιμο ύψους 25.000 ευρώ επιβλήθηκε επίσης στην ανάδοχη εταιρεία η οποία σχεδίασε και ανέπτυξε τα οικεία συστήματα διαδικτυακής πώλησης εισιτηρίων για λογαριασμό των ομάδων.

Η.Π.Α. – Παρακολουθήσεις

Σε απαγόρευση επιχειρηματικής δραστηριοποίησης στον χώρο των παρακολουθήσεων σε βάρος της εταιρείας διάθεσης της εφαρμογής «SpyFone» προέβη η Ομοσπονδιακή Επιτροπή Εμπορίου («FTC»). Η απόφαση ελήφθη κατόπιν κατηγοριών ότι η εταιρεία συνέλεγε κρυφά και μοιραζόταν προσωπικά δεδομένα ατόμων αναφορικά με τις μετακινήσεις τους, τη χρήση του κινητού τηλεφώνου τους και τις δραστηριότητές τους στο διαδίκτυο. Η παρακολούθηση καθίστατο εφικτή μέσω της εγκατάστασης ειδικής εφαρμογής στο κινητό τηλέφωνο – στόχο εν αγνοία του κατόχου του, την οποία εφαρμογή η εταιρεία διέθετε στους ενδιαφερόμενους έναντι αντιτίμου. Κατ’ αυτό τον τρόπο παρεχόταν, μεταξύ άλλων, η δυνατότητα σε άτομα που παρενοχλούν ή προβαίνουν σε ενδοοικογενειακή κακοποίηση να παρακολουθούν κρυφά τα θύματά τους.

Ιρλανδία – «Σοκ και δέος»

«Σοκ και δέος» προκαλούν οι εξελίξεις της εφαρμογής του πλαισίου προστασίας προσωπικών δεδομένων στους τεχνολογικούς κολοσσούς. Λίγο καιρό μετά την ευρεία δημοσιοποίηση της «καμπάνας» πλησίον του 1 δις ευρώ (746 εκ. ευρώ) με την οποία βρίσκεται αντιμέτωπη η εταιρεία «Amazon» για οικείες παραβιάσεις από την Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, τη σκυτάλη παρέλαβε η Αρχή Προστασίας Δεδομένων της Ιρλανδίας. Στόχος της η πασίγνωστη εφαρμογή άμεσης ανταλλαγής μηνυμάτων «WhatsApp», για την οποία ανακοινώθηκε η επιβολή προστίμου ύψους 225 εκ. ευρώ. Η επιβληθείσα κύρωση αποτελεί καρπό έρευνας που ξεκίνησε τον Δεκέμβριο του 2018 με αντικείμενο το κατά πόσον το «WhatsApp» επιδείκνυε τη δέουσα διαφάνεια με την παροχή ενημέρωσης τόσο σε χρήστες όσο και μη χρήστες του για την επεξεργασία προσωπικών δεδομένων τους.

Ισραήλ – Δεδομένα τοποθεσίας

Σοβαρή προσβολή του δικαιώματος προστασίας των προσωπικών δεδομένων συνιστά η συλλογή δεδομένων τοποθεσίας των εργαζομένων από τους εργοδότες τους -μέσω ειδικών εφαρμογών σε κινητά τηλέφωνα/συσκευές και συστημάτων εντοπισμού οχημάτων- κατά την εθνική εποπτική αρχή. Αυτό μάλιστα ισχύει ακόμη και όταν ο γεωεντοπισμός λαμβάνει χώρα κατά τη διάρκεια της εργασίας. Κατά τη γνωμοδότηση της εποπτικής αρχής, οι εργοδότες προκειμένου να προβούν στην εν λόγω συλλογή δεδομένων οφείλουν προηγουμένως να σταθμίσουν σε βάθος αφενός το τυχόν όφελος τους και αφετέρου την προσβολή που εκδηλώνεται σε βάρος του εργαζομένου. Στην εν λόγω απόφαση τους καθοριστικό ρόλο πρέπει να διαδραματίζει η φύση και τα ιδιαίτερα χαρακτηριστικά της εκάστοτε εργασίας, που ενδέχεται να δικαιολογούν ή όχι τον γεωεντοπισμό.

Σρι Λάνκα – Νέα νομοθεσία

Σε κίνηση βρίσκεται η διαδικασία υιοθέτησης ειδικού νομοθετικού πλαισίου για την προστασία των προσωπικών δεδομένων στη Σρι Λάνκα. Η αρμόδια κρατική υπηρεσία σημειώνει σε ανακοίνωσή της ότι η υιοθέτηση της νέας νομοθεσίας έχει λάβει προτεραιότητα από το Υπουργείο Τεχνολογίας. Έτσι, σειρά φορέων εργάζεται για την υποστήριξη της εφαρμογής της, ενώ ορίστηκε επιτροπή ειδικών για τη διατύπωση του πλαισίου εφαρμογής. Επόμενο βήμα αποτελεί η υποβολή του νομοσχεδίου στο Υπουργικό Συμβούλιο. Η επιτροπή σύνταξης του νέου πλαισίου έλαβε υπόψη της κατά την εκπόνησή του τις βέλτιστες πρακτικές διεθνώς, όπως τον «GDPR», καθώς και τα ισχύοντα σε Καλιφόρνια, Ηνωμένο Βασίλειο, Σιγκαπούρη, Αυστραλία, Μαυρίκιο και Ινδία.