Εράνισμα προσωπικών δεδομένων – 21/2023

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 9/11/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Δ.Δ.Η.Ε. –«Ψάρεμα»

Πολυμελή εγκληματική οργάνωση, τα μέλη της οποίας προέβαιναν συστηματικά σε απάτες με υπολογιστή με τη μέθοδο phishing, εξάρθρωσε η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ). Σύμφωνα με δηλώσεις του Διευθυντή της ΔΔΗΕ κ. Βασίλειου Παπακώστα, οι εγκληματίες δραστηριοποιούνταν στην υποκλοπή προσωπικών δεδομένων των πολιτών μέσω απατών στο διαδίκτυο. Επρόκειτο για εγκληματική οργάνωση η οποία συντονιζόταν από ένα κεντρικό πυρήνα 25 περίπου ατόμων, ηγετικών και βασικών μελών, ενώ τη δράση της συνεπικουρούσαν τουλάχιστον 130 βοηθητικά – περιφερειακά μέλη. Χαρακτηριστικό της δράσης τους ήταν οι εξειδικευμένες τεχνικές γνώσεις και δεξιότητες τις οποίες είχαν αναπτύξει αναφορικά με την κατασκευή και διαχείριση απατηλών σελίδων, καθώς και η άριστη γνώση χειρισμού των συστημάτων ηλεκτρονικής τραπεζικής.

Κύπρος – Αυτοκίνητο

Καταγγελία σχετικά με ενοικίαση αυτοκινήτου απασχόλησε το Γραφείο Επιτρόπου Κύπρου. Κατά τον καταγγείλαντα, παρά το ότι στη διαδικασία εγγραφής για την ενοικίαση υπέβαλε στην εμπλεκόμενη εταιρεία πλήθος προσωπικών δεδομένων του, όπως ονοματεπώνυμο, κατοικία, τηλέφωνο, στοιχεία από την ταυτότητά του κ.α., δεν έλαβε τη δέουσα ενημέρωση για την επεξεργασία αυτών. Περαιτέρω, όπως διαπίστωσε, το όχημα έφερε κάμερα παρακολούθησης και πιθανώς σύστημα γεωεντοπισμού GPS. Η εποπτική αρχή προέβη σε εξέταση της καταγγελίας και διαπίστωσε ότι το όχημα δεν έφερε ούτε κάμερα ούτε συσκευή GPS. Αντιθέτως, η επίμαχη συσκευή αφορούσε την αυτόματη πληρωμή διοδίων στην Ιαπωνία, καθώς το όχημα είχε εισαχθεί από τη χώρα του ανατέλλοντος ηλίου. Εν τέλει όμως, επιβλήθηκε επίπληξη στην εμπλεκόμενη εταιρεία για μη παροχή των απαιτούμενων πληροφοριών κατά την συλλογή των δεδομένων.

Γερμανία – Κυβερνοασφάλεια

Η Γερμανία είναι ο μεγάλος νικητής του διαγωνισμού Ευρωπαϊκή Πρόκληση Κυβερνοασφάλειας για το τρέχον έτος, ο οποίος διοργανώθηκε υπό τον συντονισμό του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας (ENISA). Τη δεύτερη θέση κατέλαβε η Ελβετία, τη δε τρίτη θέση η Δανία. Συνολικά συμμετείχαν 34 ομάδες, εκπροσωπώντας κράτη μέλη της Ευρωπαϊκής Ένωσης, κράτη της Ευρωπαϊκής Ζώνης Ελεύθερων Συναλλαγών, καθώς και τον Καναδά, τη Γεωργία, τη Σερβία, την Κόστα Ρίκα, τη Σιγκαπούρη και τις ΗΠΑ ως προσκεκλημένα κράτη. Η Λετονία συμμετείχε ως παρατηρήτρια. Ο ετήσιος διαγωνισμός περιλαμβάνει προκλήσεις σχετικές με την κυβερνοασφάλεια, όπως προκλήσεις υλισμικού (hardware), ασφάλειας διαδικτύου και κινητών συσκευών, παζλ τα οποία σχετίζονται με την κρυπτογράφηση, αντίστροφης μηχανικής και ανάλυσης ψηφιακών πειστηρίων (forensics).

Δ.Ε.Ε. – Ιατρικοί φάκελοι

Υπέρ του δικαιώματος του ασθενή να λαμβάνει δωρεάν το πρώτο αντίγραφο του ιατρικού φακέλου του έκρινε το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Η υπόθεση αφορούσε το αίτημα ασθενούς στη Γερμανία προς τον οδοντίατρο του, προκειμένου να λάβει αντίγραφο του ιατρικού φάκελου του, για να στοιχειοθετήσει στη συνέχεια την ευθύνη του πρώτου ως προς σφάλματα κατά την παροχή οδοντιατρικής περίθαλψης. Ο οδοντίατρος απαίτησε ωστόσο τη χρέωση του ασθενή με έξοδα για τη χορήγηση αντιγράφου του ιατρικού φακέλου, κατά τα προβλεπόμενα στο γερμανικό δίκαιο. Όπως έκρινε το ΔΕΕ, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων η επίμαχη οικονομική επιβάρυνση δεν μπορεί να γίνει δεκτή, καθώς αυτός προβλέπει την ικανοποίηση του σχετικού δικαιώματος δωρεάν.

Ηνωμένο Βασίλειο – Κλοπές

Κατευθύνσεις παρέχει η εποπτική αρχή σε καταστηματάρχες για την ορθή χρήση της τεχνολογίας στην προσπάθειά τους να καταπολεμήσουν τις κλοπές εντός των επιχειρήσεών τους. Η κοινολόγηση πληροφοριών για σχετικά εγκλήματα πιθανόν ενδείκνυται προς την αστυνομία ή άλλες αρχές επιβολής του νόμου, στον διαχειριστή άλλου καταστήματος εντός του ίδιου εμπορικού κέντρου και στους φύλακες του εμπορικού κέντρου. Πιθανόν δεν ενδείκνυνται όμως, η ανάρτηση φωτογραφιών υπόπτων στο χώρο του προσωπικού, η κοινολόγηση φωτογραφιών σε άλλες τοπικές επιχειρήσεις μέσω πλατφόρμας ανταλλαγής μηνυμάτων και η δημοσίευση πληροφοριών σε δημόσια ομάδα μέσου κοινωνικής δικτύωσης.

Η.Π.Α. – Πολεμικό Ναυτικό

Σε σχετική ανάρτηση στην ιστοσελίδα του προέβη το Πολεμικό Ναυτικό των ΗΠΑ με βέλτιστες πρακτικές κυβερνοασφάλειας σε περίπτωση τηλεργασίας ή ενασχόλησης με το διαδίκτυο σε χρόνο εκτός υπηρεσίας. Οι βέλτιστες πρακτικές διατυπώνονται από την αρμόδιο φορέα (Office of the Deputy Chief of Naval Operations for Information Warfare) στο πλαίσιο των δράσεων ευαισθητοποίησης κατά τη διάρκεια του προηγουμένου μήνα ως μήνα κυβερνοασφάλειας. Μεταξύ αυτών περιλαμβάνονται: α) μη προώθηση επαγγελματικών ηλεκτρονικών μηνυμάτων σε προσωπικούς λογαριασμούς ηλεκτρονικής αλληλογραφίας, β) αποθήκευση επαγγελματικού υλικού μόνο σε εξοπλισμό ο οποίος έχει χορηγηθεί από την υπηρεσία ή με τη χρήση εγκεκριμένων υπηρεσιών υπολογιστικού νέφους (cloud computing), γ) μη εκτύπωση επαγγελματικού υλικού στην οικία ή σε δημόσιους εκτυπωτές, δ) περιορισμός των πληροφοριών οι οποίες αναρτώνται στα μέσα κοινωνικής δικτύωσης.