Εράνισμα προσωπικών δεδομένων – 22/2021

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 18/11/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Α.Π.Δ.Π.Χ. – Ευχετήριο μήνυμα

Ως αβάσιμη έκρινε η Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) καταγγελία κατά πολιτικού για την αποστολή σύντομου γραπτού μηνύματος («SMS») με πασχαλιάτικες ευχές, χωρίς να έχει ληφθεί προηγουμένως η συγκατάθεση του αποδέκτη. Ο πολιτικός αναγνώρισε ότι η υπόθεση αφορούσε μεγάλο αριθμό ευχετήριων μηνυμάτων που εστάλησαν μέσω εταιρείας. Κατά τον ίδιο όμως περιείχαν μόνο εορταστικές ευχές, με απώτερο στόχο την εμψύχωση των φίλων και προσωπικών επαφών του εν μέσω πανδημίας. Όπως υποστήριξε, αυτά δεν περιείχαν πολιτικό μήνυμα, ούτε αποσκοπούσαν σε προώθηση πολιτικής δράσης. Η εποπτική αρχή δέχθηκε τους ισχυρισμούς του και απέρριψε την οικεία καταγγελία. Υπενθυμίζεται ότι σε παραπλήσια υπόθεση το 2019 η εποπτική αρχή της Κύπρου είχε κρίνει το αντίθετο, επιβάλλοντας πρόστιμο ύψους 2.000 ευρώ.

Κύπρος – «Κατασκοπευτικό βαν»

Πρόστιμο ύψους 925.000 ευρώ εισπράχθηκε από το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) για την υπόθεση του αποκαλούμενου «κατασκοπευτικού βαν», που απασχόλησε κατά το παρελθόν την κοινή γνώμη της χώρας. Σύμφωνα με τα τότε δημοσιεύματα, το επίμαχο όχημα φερόταν να κυκλοφορεί με ειδικό εξοπλισμό, ώστε να δύναται να πραγματοποιεί παρακολουθήσεις προσώπων. Κατά το Γραφείο Επιτρόπου, εν τέλει δεν διαπιστώθηκε οποιαδήποτε παρακολούθηση συσκευής ή υποκλοπή ιδιωτικής επικοινωνίας. Οι δραστηριότητες της εμπλεκόμενης εταιρείας είχαν όμως ως αποτέλεσμα τη συλλογή δεδομένων «Mac Address» («Media Access Control Address») και «IMSI» («International Mobile Subscriber Identity») διαφόρων συσκευών, χωρίς να το γνωρίζουν οι χρήστες τους, κατά παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, εξ ου και το επιβληθέν πρόστιμο. Όπως σημειώνεται στη σχετική ανακοίνωση, τα «Mac Addresses» είναι μοναδικοί αριθμοί που αναγνωρίζουν μία συσκευή όταν συνδέεται στο διαδίκτυο, το δε «IMSI» είναι μοναδικός αριθμός, που περιέχεται σε κάρτες «SIM» («Subscriber Identity Module») και αναγνωρίζει ένα συνδρομητή όταν συνδέεται με το δίκτυο του παρόχου του. Τα δεδομένα αυτά, σε συνδυασμό με την γεωγραφική θέση μίας συσκευής, σε διαφορετικούς χρόνους, μπορεί να οδηγήσουν στην ταυτοποίηση του χρήστη της συσκευής.

Αυστραλία – Μαζική παρακολούθηση

Και η Αυστραλία προστίθεται στα κράτη που κρίνουν πως η δραστηριότητα της τεχνολογικής εταιρεία Clearview AI είναι παράνομη υπό το πρίσμα της προστασίας των προσωπικών δεδομένων. Η εν λόγω τεχνολογική εταιρεία καθιστά εφικτή ιδίως σε αστυνομικές αρχές την ταυτοποίηση φωτογραφιών αγνώστων προσώπων, μέσω της σύγκρισής τους με τη βάση δεδομένων την οποία αυτή διαθέτει. Η εν λόγω βάση δεδομένων περιλαμβάνει περισσότερες από τρία δισεκατομμύρια φωτογραφίες, οι οποίες έχουν συλλεγεί από το διαδίκτυο, κυρίως από μέσα κοινωνικής δικτύωσης, χωρίς όμως τη γνώση και τη συγκατάθεση των εμπλεκομένων. Η δραστηριότητα αυτή έχει κριθεί πως αποτελεί μαζική παρακολούθηση.

Βραζιλία – Πρώτο έτος λειτουργίας

Ένα έτος λειτουργίας έκλεισε η εθνική εποπτική αρχή προ ολίγων ημερών και αποφάσισε να το γιορτάσει με ένα σύντομο, αλλά εντυπωσιακό απολογισμό των μέχρι σήμερα πεπραγμένων της. Μεταξύ άλλων, κατά την εν λόγω περίοδο η Αρχή Προστασίας Δεδομένων κλήθηκε να χειριστεί περισσότερα από 3.100 αιτήματα σχετιζόμενα με την εφαρμογή των προστατευτικών ρυθμίσεων στη χώρα. Στο πλαίσιο των δράσεων της εκδόθηκε επίσης σειρά εγκυκλίων και οδηγιών, υπογράφηκαν συμφωνίες τεχνικής συνεργασίας, εκπονήθηκε εκπαιδευτικό υλικό, δημοσιεύθηκαν σχετικά άρθρα και πραγματοποιήθηκαν δημόσιες διαβουλεύσεις. Τα δε μέλη της εποπτικής αρχής συμμετείχαν σε εκατοντάδες εκδηλώσεις για την πληροφόρηση  των ενδιαφερομένων.

Ιταλία – «Στα μανταλάκια»

10.000 ευρώ καλείται να καταβάλει ιατρός στην Ιταλία εξαιτίας της «φαεινής» ιδέας του να πρωτοτυπήσει στον τρόπο παράδοσης ιατρικών συνταγών, κρεμώντας τες έξω από το παράθυρο του γραφείου του με …μανταλάκια! Όπως διαπίστωσε η εποπτική αρχή, οι ιατρικές συνταγές κρέμονταν έξω από παράθυρο ισογείου, σε δημόσια οδό, με αποτέλεσμα τα ονόματα των ασθενών και το περιεχόμενο των συνταγών να είναι ορατά στον οποιονδήποτε. Κατά την επιβολή του προστίμου η Αρχή Προστασίας Δεδομένων επεσήμανε ότι η επεξεργασία των προσωπικών δεδομένων επιβάλλει την παράλληλη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία τους.

Νορβηγία – Λυτρισμικό

Ακριβά θα πληρώσει τις παραλείψεις του για λήψη των δεόντων μέτρων ασφαλείας δήμος στη Νορβηγία ο οποίος αποτέλεσε θύμα κυβερνοεπίθεσης μέσω λυτρισμικού («ransomware»). Όπως αποφάσισε η εθνική εποπτική αρχή, ο δήμος καλείται να καταβάλει πρόστιμο ύψους περίπου 400.000 ευρώ. Κατά τη διάρκεια της επίθεσης, σημειώθηκε απώλεια του ελέγχου των οικείων πληροφοριακών συστημάτων, καθώς και των προσωπικών δεδομένων τόσο εργαζομένων όσο και δημοτών. Μεγάλος όγκος αυτών των προσωπικών δεδομένων διέρρευσε στη συνέχεια στο καλούμενο σκοτεινό διαδίκτυο («dark web»).