Εράνισμα προσωπικών δεδομένων – 7/2023

Πρώτη δημοσίευση: εφημερίδα “Εστία”
Ημερομηνία πρώτης δημοσίευσης: 7/04/2023

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM, CIPT, FIP

Α.Π.Δ.Π.Χ. – Ετήσια Έκθεση

Προ ολίγων ημερών, ο Πρόεδρος της Βουλής των Ελλήνων, κ. Κωνσταντίνος Τασούλας, δέχθηκε τον Πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κ. Κωνσταντίνο Μενουδάκο, ο οποίος του υπέβαλε την Ετήσια Έκθεση Δραστηριότητας της Αρχής για το έτος 2021. Ο κ. Μενουδάκος σημείωσε ότι, μεταξύ των πολλών δραστηριοτήτων της, η Αρχή εξέδωσε πλήθος αποφάσεων, γνωμοδοτήσεων και κατευθυντηρίων γραμμών για σημαντικά ζητήματα όπως η τηλεκπαίδευση, η τηλεργασία, η επεξεργασία προσωπικών δεδομένων στο πλαίσιο της δήλωσης αποτελεσμάτων των αυτοδιαγνωστικών ελέγχων και η χρήση ηλεκτρονικής εφαρμογής σε κινητές συσκευές, μέσω της οποίας πραγματοποιείται ο έλεγχος του Ψηφιακού Πιστοποιητικού COVID-19. Σε ό,τι αφορά τις προσφυγές και καταγγελίες που δέχθηκε η ΑΠΔΠΧ και τη διεκπεραίωσή τους, ο κ. Μενουδάκος ανέφερε ότι σημειώθηκε σχεδόν πενταπλασιασμός των προστίμων, αφού το 2021 επιβλήθηκαν πρόστιμα ύψους 414.000 ευρώ.

Βερμούδες – Βιντεοεπιτήρηση

Ζητήματα τα οποία εγείρονται από τη λειτουργία συστημάτων βιντεοεπιτήρησης και πώς αυτά αντιμετωπίζονται σε διάφορες χώρες δημοσίευσε η εποπτική αρχή στην ιστοσελίδα της. Στη σχετική ανάρτηση επισημαίνεται ότι τα κακώς σχεδιασμένα συστήματα βιντεοεπιτήρησης δημιουργούν μόνο μια ψευδή αίσθηση ασφαλείας, ενώ ενδέχεται να αποτελούν αιτία σοβαρών παραβιάσεων της ιδιωτικότητας, καθώς και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών. Αναφέρεται επίσης ότι σύμφωνα με εκτιμήσεις υπάρχουν 1 δις κάμερες παγκοσμίως σε χρήση. Αυτές χρησιμοποιούνται είτε από ιδιώτες είτε από το δημόσιο τομέα. Η εποπτική αρχή προβαίνει σε μια συγκριτική προσέγγιση των όσων ισχύουν σε Ευρωπαϊκή Ένωση, ΗΠΑ και Ηνωμένο Βασίλειο, καταλήγοντας σε ειδικές παρατηρήσεις για τα ισχύοντα στις Βερμούδες.

Η.Π.Α. – Παρακολουθήσεις

Εκτελεστικό Διάταγμα (Executive Order) υπέγραψε ο Πρόεδρος Τζο Μπάιντεν για την απαγόρευση της επιχειρησιακής χρήσης από την κυβέρνηση της χώρας εμπορικού λογισμικού παρακολούθησης, το οποίο δημιουργεί κινδύνους για την εθνική ασφάλεια ή έχει γίνει κακή χρήση του από αλλοδαπούς παράγοντες, με αποτέλεσμα την παραβίαση ανθρωπίνων δικαιωμάτων ανά τον κόσμο. Πρόκειται για την πρώτη φορά κατά την οποία τίθεται σχετική απαγόρευση. Όπως υπογραμμίζεται στη σχετική ανακοίνωση του Λευκού Οίκου, το εμπορικό λογισμικό παρακολούθησης αποτελεί ένα εξελιγμένο και επεμβατικό εργαλείο παρακολουθήσεων στον κυβερνοχώρο, για πρόσβαση σε ηλεκτρονικές συσκευές εξ αποστάσεως, εξαγωγή του περιεχομένου τους και χειρισμού τους, χωρίς τη γνώση ή τη συγκατάθεση των χρηστών των συσκευών. Η διεύρυνση της χρήσης του συνιστά κίνδυνο ασφαλείας για τη χώρα, συμπεριλαμβανομένων του προσωπικού της κυβέρνησης και των οικογενειών τους.

Ο.Η.Ε. – Πανδημία

Τα κράτη οφείλουν να εξετάσουν το θέμα των προσωπικών δεδομένων τα οποία συλλέχθηκαν και έτυχαν επεξεργασίας από δημόσιες αρχές κατά τη διάρκεια της πανδημίας, ώστε αυτά να διαγραφούν, εφόσον η τήρησή τους δεν εξυπηρετεί πλέον ένα συναφή σκοπό με τη «μετά την πανδημία» εποχή. Αυτά τονίζει σε έκθεσή της η Ειδική Εισηγήτρια για το δικαίωμα στην ιδιωτικότητα του Οργανισμού Ηνωμένων Εθνών. Υπογραμμίζει επίσης ότι η πρόκληση για τα κράτη είναι να εφαρμόσουν αποτελεσματικά την απόφαση διαγραφής αυτών των ευαίσθητων πληροφοριών, σύμφωνα με όσα οποία επιτάσσουν τα ανθρώπινα δικαιώματα, συμπεριλαμβανομένου του δικαιώματος στην ιδιωτικότητα.

Τσεχία – Αντιικό λογισμικό

Πρόστιμο ύψους 13,7 εκ. ευρώ επέβαλε η εποπτική αρχή σε μεγάλη εταιρεία διάθεσης αντιϊκού λογισμικού (antivirus), σύμφωνα με ανακοίνωση μεγάλης ένωσης καταναλωτών της Ισπανίας, η οποία και υπέβαλε τη σχετική καταγγελία. Η εταιρεία φέρεται να προέβαινε σε παράνομη επεξεργασία των προσωπικών δεδομένων πελατών της, ήτοι σε συλλογή και πώληση δεδομένων περιήγησης στο διαδίκτυο αυτών, χωρίς τη γνώση τους ή τη ρητή συγκατάθεσή τους. Τα προσωπικά δεδομένα ήταν τόσο λεπτομερή, ώστε να είναι δυνητικά εφικτή η ταυτοποίηση των χρηστών. Σε αυτά θα μπορούσαν να περιλαμβάνονται αναζητήσεις τοποθεσιών στο Google Maps, βίντεο τα οποία προβλήθηκαν στο YouTube, προφίλ στο LinkedIn και αναζητήσεις στη μηχανή αναζήτησης της Google.

ENISA – Μεταφορές

Την πρώτη του έκθεση για τις κυβερνοαπειλές στον τομέα των μεταφορών εντός της Ευρωπαϊκής Ένωσης δημοσίευσε ο Ευρωπαϊκός Οργανισμός για την Κυβερνοασφάλεια (ENISA). Σε αυτή χαρτογραφούνται και αναλύονται περιστατικά στον κυβερνοχώρο σε σχέση με αεροπορικές, θαλάσσιες, σιδηροδρομικές και οδικές μεταφορές κατά την περίοδο Ιανουαρίου 2021 – Οκτωβρίου 2022. Σύμφωνα με την έκθεση, πρωταρχικές απειλές κατά του τομέα των μεταφορών θεωρούνται οι επιθέσεις λυτρισμικού (ransomware attacks), οι απειλές σχετικά με δεδομένα (data related threats), το κακόβουλο λογισμικό (malware), η άρνηση εξυπηρέτησης (denial-of-service) και παραλλαγές αυτής, το «ηλεκτρονικό ψάρεμα» (phishing) και παραλλαγές αυτού, καθώς και οι επιθέσεις εφοδιαστικής αλυσίδας (supply-chain attacks). Στην πρώτη δε θέση μεταξύ αυτών βρίσκονται οι επιθέσεις λυτρισμικού.