Εράνισμα προσωπικών δεδομένων – 3/2022
Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 3/02/2022
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM
Α.Π.Δ.Π.Χ. – Τηλεπικοινωνίες
Το μεγαλύτερο πρόστιμο στην ιστορία της ποσού ύψους 9.250.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε δύο εταιρείες πολύ μεγάλου ομίλου παροχής υπηρεσιών τηλεπικοινωνιών. Η υπόθεση αφορούσε περιστατικό παραβίασης τον Σεπτέμβριο του 2020, εξαιτίας του οποίου διέρρευσαν δεδομένα κλήσεων εκατομμυρίων συνδρομητών. Κατά τη διάρκεια του σχετικού ελέγχου εντοπίστηκε σειρά παραβάσεων. Πέραν των πολλών σημείων της οικείας απόφασης που παρουσιάζουν ιδίως νομικό ενδιαφέρον, αξιοσημείωτη είναι η επαναλαμβανόμενη αστοχία συμμόρφωσης. Έτσι, το 2019 είχαν επιβληθεί δύο ακόμη πρόστιμα ύψους 200.000 ευρώ έκαστο σε εταιρεία του ίδιου ομίλου, τα οποία αποτελούν και το προηγούμενο ρεκόρ κυρώσεων της ΑΠΔΠΧ. Το δε 2018 είχε επιβληθεί πάλι πρόστιμο ύψους 150.000 ευρώ σε εταιρεία του ίδιου ομίλου.
Κύπρος – Δικαστική απόφαση
Συνεχίζοντας την επισκόπηση των αποφάσεων της Ετήσιας Έκθεσης για το 2020 του Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου, η οποία δημοσιεύθηκε προ ημερών, κατά το οικείο έτος υποβλήθηκε στο Γραφείο Επιτρόπου καταγγελία κατά δικηγόρου. Σύμφωνα με αυτήν, ο δικηγόρος ανήρτησε δικαστική απόφαση σε μέσο κοινωνικής δικτύωσης, η οποία περιείχε αναφορά ονόματος μάρτυρα της επίμαχης δίκης. Όπως έκρινε το Γραφείο Επιτρόπου, οι δικαστικές αποφάσεις μπορεί μεν να εκφωνούνται δημόσια και οι ακροάσεις να εκδικάζονται δημόσια, αυτό όμως δεν σημαίνει ότι η κοινοποίησή τους σε τρίτους, οι οποίοι δεν ήταν παρόντες στη διαδικασία, ή η δημοσίευσή τους σε μέσα κοινωνικής δικτύωσης, είναι επιτρεπτή άνευ όρων. Τα δε ονόματα των μαρτύρων πρέπει πάντα να τυγχάνουν ανωνυμοποίησης.
Ε.Ε.Π.Δ. – «Σκάνδαλο Σνόουντεν;»
Εντολή στην «Europol», τον οργανισμό επιβολής του νόμου της Ευρωπαϊκής Ένωσης, απηύθυνε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ). Το περιεχόμενό της συνίσταται στη μαζική διαγραφή μεγάλου όγκου προσωπικών δεδομένων τα οποία βρίσκονται στη διάθεση του οργανισμού για πρόσωπα, χωρίς αυτά να έχουν συνδεθεί με εγκληματική δραστηριότητα. Κατά τον ΕΕΠΔ, η «Europol» οφείλει εντός συγκεκριμένου χρονικού διαστήματος να «φιλτράρει» το σύνολο των προσωπικών δεδομένων τα οποία έχει στη διάθεσή της και να τηρεί μόνο αυτά για τα οποία, κατόπιν κατηγοριοποίησης, προκύπτει ότι αφορούν πρόσωπα συνδεόμενα με εγκληματική δραστηριότητα. Η υπόθεση έχει προκαλέσει αίσθηση, με ορισμένους να μιλούν για ευρωπαϊκή εκδοχή σκανδάλου α λα Σνόουντεν. Ο τελευταίος είχε αποκαλύψει το 2013 απόρρητες πληροφορίες για προγράμματα μαζικής παρακολούθησης τα οποία εφήρμοζαν κυρίως οι ΗΠΑ.
Η.Π.Α. – Αναγνώριση προσώπου
Στη δημιουργία ειδικής ιστοσελίδας για την τεχνολογία αναγνώρισης προσώπου προέβη το Υπουργείο Δικαιοσύνης της πολιτείας του Νιου Τζέρσεϊ. Μέσω αυτής, οι πολίτες καλούνται να εκφράσουν την άποψή τους για τις υπό εκπόνηση ρυθμίσεις, ώστε να υιοθετηθεί πλαίσιο χρήσης της εν λόγω τεχνολογίας στις έρευνες των αρχών επιβολής του νόμου. Υπενθυμίζεται ότι η νέα αυτή προσέγγιση καθιστά εφικτή την αναγνώριση ή ταυτοποίηση ενός ατόμου με τη χρήση ειδικού λογισμικού, το οποίο αξιοποιεί υφιστάμενα «αποτυπώματα» προσώπων. Τα τελευταία έχουν δημιουργηθεί βάσει συγκεκριμένων χαρακτηριστικών της γεωμετρίας του προσώπου, όπως η απόσταση μεταξύ των ματιών, καθώς και η απόσταση μεταξύ μετώπου και σαγονιού. Όπως σημειώνεται, η αξιοποίησή της διευκολύνει το αστυνομικό έργο, γεννά όμως και κινδύνους για την ιδιωτικότητα.
Ισπανία – Φωτογραφίες εργαζομένων
Ακριβά καλείται να πληρώσει εταιρεία την παράνομη χρήση φωτογραφίας εργαζομένου της στην ιστοσελίδα της και στους λογαριασμούς της στα μέσα κοινωνικής δικτύωσης. Όπως καταγγέλθηκε στην εποπτική αρχή από τον θιγόμενο, οι σχετικές αναρτήσεις έγιναν χωρίς τη συγκατάθεσή του, δεδομένου ότι αυτός είχε σχηματίσει την εντύπωση ότι το φωτογραφικό υλικό προοριζόταν μόνο για εσωτερική χρήση. Περαιτέρω, η εταιρεία αρνήθηκε παράνομα να προβεί σε διαγραφή των αναρτήσεων, παρά το ότι ο εργαζόμενος προέβη στην υποβολή σχετικού αιτήματος. Για τους λόγους αυτούς επιβλήθηκε στην εργοδοσία πρόστιμο ύψους 9.000 ευρώ.
Νορβηγία – Βουλή
Πρόθεση επιβολής προστίμου στη Βουλή ύψους περίπου 200.000 ευρώ εξέφρασε η εθνική εποπτική αρχή, σύμφωνα με πρόσφατο σχέδιο απόφασής της. Η υπόθεση αφορά περιστατικό παραβίασης το οποίο έλαβε χώρα το 2020. Κατά τη διάρκειά του, κακόβουλοι χρήστες απέκτησαν πρόσβαση σε ηλεκτρονικές διευθύνσεις εργαζομένων της Βουλής και μέσω αυτών σε προσωπικά δεδομένα τους, όπως οικονομικά δεδομένα και δεδομένα υγείας. Το συμβάν έγινε αντιληπτό όταν εργαζόμενος ενημερώθηκε από την τράπεζά του για την απόπειρα παράνομης χρήσης κάρτας του στο εξωτερικό. Όπως διαπιστώθηκε, η Βουλή δεν είχε προχωρήσει στην ενεργοποίηση ταυτοποίησης δύο παραγόντων («two-factor authentication») για την είσοδο στους λογαριασμούς ηλεκτρονικού ταχυδρομείου, παρά το ότι είχε αναγνωριστεί προ του συμβάντος η σχετική ανάγκη.