Η Homo Digitalis υπογράφει τη διακήρυξη του ΕΑΙD
Στις 29 Μαρτίου η Homo Digitalis υπέγραψε την διακήρυξη του European Academy for Freedom of Information and Data Protection (ΕΑΙD) αναφορικά με την προστασία των προσωπικών δεδομένων και της ελευθερίας της πληροφόρησης κατά την καταπολέμηση του Κορωνοϊού.
H επιστολή καλεί στην επαγρύπνηση όλων μας ούτως ώστε η μάχη για την καταπολέμηση του Κορωνοϊού να είναι συμβατή με την προστασία των ανθρώπινων δικαιωμάτων. Τα δικαιώματα και οι ελευθερίες των πολιτών είναι αυτά που χαρακτηρίζουν τις σύγχρονες δημοκρατικές κοινωνίες και αποτελούν θεμέλιο λίθο του Κράτους Δικαίου. Οι συνθήκες που επικρατούν δεν θα πρέπει να αποτελέσουν πρόσφορο πεδίο για τον άμετρο περιορισμό των ανθρώπινων δικαιωμάτων, όπως το δικαίωμα στην ελευθερία πληροφόρησης και το δικαίωμα στην προστασία των προσωπικών δεδομένων.
Την επιστολή υπογράφουν πλήθος επιστημόνων και αξιωματούχων με εξέχουσα πορεία στον τομέα της προστασίας των δικαιωμάτων του ανθρώπου.
Το κείμενο της επιστολής είναι διαθέσιμο εδώ.
H Homo Digitalis για την πανδημία του Κορωνοϊού
Οι μέρες που διανύουμε σαφώς ανέδειξαν περισσότερο από ποτέ την ανάγκη για ατομική υπευθυνότητα και δράση. Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε ολόκληρη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν και να μετριάσουν τις επιπτώσεις του COVID-19.
Το σημαντικότερο που οφείλουμε να κάνουμε είναι να ακολουθήσουμε τις συστάσεις του Παγκόσμιου Οργανισμού Υγείας, της επιστημονικής κοινότητας και της ελληνικής κυβέρνησης, για την αντιμετώπιση της κρίσης.
Ωστόσο, την περίοδο αυτή οι ψηφιακές πτυχές της καθημερινότητάς μας γίνονται εντονότερες καθώς εργαζόμαστε, ενημερωνόμαστε, ψυχαγωγούμαστε, συναλλασσόμαστε, και επικοινωνούμε χρησιμοποιώντας ψηφιακά μέσα. Προς το παρόν δε, ακόμη και οι ιδιωτικές συνομιλίες μέσα στους πιο οικείους κύκλους οικογένειας και φιλίας πραγματοποιούνται μέσω της τεχνολογίας.
Ως οργάνωση της κοινωνίας των πολιτών λοιπόν, κρίνουμε σημαντικό να υπογραμμίσουμε την σημασία της προστασίας των ψηφιακών δικαιωμάτων και σε αυτή την περίοδο κρίσης.
Επιζητούμε από την Ελληνική Κυβέρνηση και τις Ελληνικές Αρχές να επιτύχουν την αντιμετώπιση της πανδημίας κατά τρόπο που να διασφαλίζει την προστασία των ψηφιακών δικαιωμάτων. H τήρηση της ευρωπαϊκής και εθνικής νομοθεσίας δεν είναι επιλογή, αλλά υποχρέωση.
Η τεχνολογία μπορεί και πρέπει να διαδραματίσει σημαντικό ρόλο κατά τη διάρκεια αυτής της προσπάθειας για την αντιμετώπιση της κρίσης, όπως με τη διάδοση μηνυμάτων δημόσιας υγείας και την αύξηση της πρόσβασης στην υγειονομική περίθαλψη. Ωστόσο, η αύξηση των εξουσιών κρατικής ψηφιακής εποπτείας απειλεί την ιδιωτική ζωή. Μάλιστα, όταν οι εν λόγω εξουσίες συνοδεύονται από την έλλειψη διαύγειας, η εμπιστοσύνη προς τις δημόσιες αρχές, δικαιολογημένα, κλονίζεται.
Κρίνεται λοιπόν επιβεβλημένο τα μέτρα που θεσπίζονται για την αντιμετώπιση της πανδημίας να είναι νόμιμα, αναγκαία και ανάλογα προς τον επιδιωκόμενο σκοπό που επιζητούν να αντιμετωπίσουν.
Κάθε επεξεργασία δεδομένων στο πλαίσιο της πρόληψης της εξάπλωσης του COVID-19, πρέπει να διεξάγεται κατά τρόπο που εξασφαλίζει την αρχή της διαφάνειας. Επιπλέον, όπως συμβαίνει με κάθε πράξη επεξεργασίας δεδομένων, θα πρέπει να τηρούνται αυστηρά οι αρχές της ελαχιστοποίησης των δεδομένων, του περιορισμού της περιόδου αποθήκευσης, και φυσικά, της λογοδοσίας.
Επίσης, πρέπει σε κάθε περίπτωση να καταβληθεί κάθε δυνατή προσπάθεια για να υποβάλλονται τα δεδομένα σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια τους και την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια.
Φυσικά, και οι επιχειρήσεις που συμμετέχουν στις προσπάθειες των κυβερνήσεων να αντιμετωπίσουν το COVID-19 πρέπει να επιδείξουν την απαιτούμενη συμμόρφωση, όπως επίσης και η ακαδημαϊκή κοινότητα. Οι κατευθυντήριες γραμμές που εξέδωσε η ΑΠΔΠΧ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 αποτελούν ένα σημαντικό βοήθημα.
Η Αρχή υπογραμμίζει ότι το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα και πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας. Ωστόσο, υπογραμμίζει ότι η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.
Γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων, ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή εφόσον δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, και ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
Στις ΠΝΠ, που εκδίδονται από την ελληνική κυβέρνηση, πρέπει να προβλέπονται τα απαραίτητα μέτρα για την προστασία και την διαφύλαξη των ατομικών ελευθεριών των πολιτών και η Homo Digitalis παρακολουθεί με μεγάλη προσοχή τις εξελίξεις τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, ενώ εξετάζει με προσοχή τα ζητήματα που ανακύπτουν.
Ευχόμαστε σε όλη την ανθρωπότητα να βγούμε από αυτή την δύσκολη κατάσταση με όσο το δυνατόν λιγότερες απώλειες.
Κοινή Επιστολή στο Συμβούλιο της ΕΕ για τον TERREG
Στις 27 Μαρτίου, η European Digital Rights (EDRi) μαζί με πληθώρα άλλων οργανώσεων, συμπεριλαμβανομένης της Homo Digitalis, απέστειλε ανοιχτή επιστολή στο Συμβούλιο της ΕΕ αναφορικά με τον προτεινόμενο ευρωπαϊκό κανονισμό για την αποτροπή της διακίνησης τρομοκρατικού υλικού στο διαδίκτυο (TERREG).
Στο κείμενο της επιστολής παραθέτουμε τους έντονους προβληματισμούς μας αναφορικά με τη προτεινόμενη νομοθεσία και τα ζητήματα που ανακύπτουν για την προστασία των δικαιωμάτων στο σεβασμό της ιδιωτικής ζωής και της ελευθερίας της έκφρασης και πληροφόρησης, μεταξύ άλλων.
Μπορείτε να δείτε την επιστολή στην ιστοσελίδα της EDRi ή εδώ.
Αίτηση γνωμοδότησης προς την ΑΠΔΠΧ για τη σύμβαση της ΕΛ.ΑΣ για Έξυπνη Αστυνόμευση
Σήμερα, 19.03.2020, η Homo Digitalis κατέθεσε ηλεκτρονικά αίτηση (αριθμ. πρωτ: Γ/ΕΙΣ/2140/19-03-2020) προς τον Πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κ. Μενουδάκο, με σκοπό την έκδοση γνωμοδότησης επί της συμβάσης που αφορά στην προμήθεια Συστημάτων για Έξυπνη Αστυνόμευση (Smart Policing) μεταξύ της Ελληνικής Αστυνομίας (ΕΛ.ΑΣ) και της INTRACOM TELECOM.
Η εν λόγω σύμβαση προβλέπει, μεταξύ άλλων, την επεξεργασία βιομετρικών δεδομένων (αποτυπώματα και φωτογραφίες) πολιτών μέσω έξυπνων φορητών συσκευών που θα χρησιμοποιούνται σε πεζές και εποχούμενες περιπολίες με σκοπό την αναζήτηση, εύρεση και ταυτοποίηση προσώπων.
Είναι αναγκαία η άμεση παρέμβαση της ΑΠΔΠΧ λόγω των εξαιρετικά σημαντικών και σοβαρών προκλήσεων που ανακύπτουν για την προστασία των προσωπικών δεδομένων όλων των υποκειμένων στην Ελληνική Επικράτεια.
Μπορείτε να δείτε το κείμενο της αίτησής μας εδώ.
H προστασία των προσωπικών δεδομένων στην πανδημία του κορωνοϊού
Γράφουν οι Ελπίδα Βαμβακά και Μαρίνα Ζαχαροπούλου*
Μετά το χαρακτηρισμό του νέου κορωνοϊού (COVID-19) ως παγκόσμια πανδημία από τον Παγκόσμιο Οργανισμο Υγείας (ΠΟΥ), η Ευρώπη έγινε το επίκεντρο της κρίσης στον τομέα της υγείας, καθώς ο αριθμός των νέων κρουσμάτων ξεπέρασε εκείνους της Κίνας, χώρα-αφετηρία του ιού.
Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε ολόκληρη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν και να μετριάσουν τις επιπτώσεις του COVID-19.
Τα μέτρα αυτά συχνά, συνεπάγονται την επεξεργασία διαφόρων τύπων προσωπικών δεδομένων.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) προβλέπει τις νόμιμες βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες αρχές δημόσιας υγείας να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων.
Αυτό ισχύει για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (άρθρα 6 και 9 GDPR) ή για τη συμμόρφωσή τους με άλλη νομική υποχρέωση.
Οι αιτιολογικές σκέψεις 46, 52 και 54 του Γενικού Κανονισμού δίνουν μία σαφή προσέγγιση γύρω από τα ζητήματα της επεξεργασίας προσωπικών δεδομένων στην περίπτωση μιας πανδημίας, όπως αυτή που αντιμετωπίζουμε σήμερα.
Βοήθημα κατά την τελική διαμόρφωση της διαδικασίας λήψης αποφάσεων σχετικά με τα μέτρα που εφαρμόζονται για τη διαχείριση του COVID-19, τα οποία αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κάθε οργανισμό αποτελεί η Πράξη Νομοθετικού Περιεχομένου “Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19” ( ΦΕΚ Α’64/14-3-2020).
Το άρθρο 5 της Πράξης αναφέρει ρητά τις κατηγορίες προσωπικών δεδομένων που επιτρέπεται να κοινοποιούνται, τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνονται, το σκοπό της συγκεκριμένης επεξεργασίας, καθώς και το διάστημα που μπορούν τα δεδομένα αυτά να διατηρηθούν (έως και έναν (1) μήνα μετά από τη λήξη της περιόδου εφαρμογής των κατεπειγόντων μέτρων για την αποφυγή της διασποράς του κορωνοϊού COVID-19 και πάντως όχι πέραν της 31.12.2020).
Είναι σημαντικό να κρατήσουμε τη δήλωση που έκανε τη Δευτέρα η Andrea Jelinek, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), σύμφωνα με την οποία, οι κανόνες προστασίας δεδομένων (όπως οι διατάξεις του GDPR) δεν εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωνοϊού.
Η Πρόεδρος υπογράμμισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων και επομένως θα πρέπει να ληφθούν υπόψη ορισμένες εκτιμήσεις για να εξασφαλιστεί η νόμιμη επεξεργασία τους.
Πολλές ευρωπαϊκές αρχές προστασίας δεδομένων, έχουν αρχίσει να παρέχουν καθοδήγηση προς εργοδότες και εργαζόμενους. Όπως θα δούμε παρακάτω μεταξύ των Αρχών υπάρχουν διαφορετικές απόψεις σχετικά με τον τρόπο με τον οποίο οι εργοδότες θα πρέπει να συμμορφώνονται με τις απαιτήσεις προστασίας δεδομένων.
Πιο αναλυτικά:
Περιορισμοί στις δραστηριότητες επεξεργασίας παρακολούθησης δεδομένων υγείας των εργαζομένων:
Ιταλία, Γαλλία, Λουξεμβούργο και Βέλγιο
H Αρχή Προστασίας Προσωπικών Δεδομένων της Ιταλίας ενήργησε ταχέως.
Στις 2 Μαρτίου προειδοποίησε τους εργοδότες να μην εκτελούν «αυτόνομους» ιατρικούς ελέγχους ή να ζητούν προσωπικές πληροφορίες σχετικά με τα μη επαγγελματικά ταξίδια και τις επαφές των εργαζομένων.
Με τη δήλωσή της, η Αρχή Προστασίας Δεδομένων δήλωσε ότι οι εργοδότες πρέπει να απέχουν από τη συλλογή, εκ των προτέρων και με συστηματικό και γενικευμένο τρόπο, πληροφοριών σχετικά με την παρουσία τυχόν συμπτωμάτων γρίπης στον εργαζόμενο και στις πλησιέστερες επαφές του – μεταξύ άλλων μέσω συγκεκριμένων αιτήσεων προς τον εργαζόμενο ή μη εγκεκριμένων ερευνών.
Πρόσθεσε ότι, όλοι οι Υπεύθυνοι Επεξεργασίας δεδομένων πρέπει να συμμορφώνονται αυστηρά με τις οδηγίες που παρέχονται από το Υπουργείο Υγείας και τα αρμόδια όργανα για την πρόληψη της εξάπλωσης του κορωνοϊού, χωρίς να αναλαμβάνουν αυτόνομες πρωτοβουλίες με στόχο τη συλλογή δεδομένων για την υγεία των εργαζομένων, αν οι πρωτοβουλίες δεν ρυθμίζονται από το νόμο ή δεν διατάσσονται από τους αρμόδιους φορείς.
Στην ίδια γραμμή, η CNIL στη Γαλλία, πληροφόρησε τους οργανισμούς ότι δεν πρέπει να συλλέγουν πληροφορίες σχετικά με τη θερμοκρασία του σώματος του συνόλου των εργαζομένων ή των επισκεπτών τους ή γενικευμένες πληροφορίες για την υγεία και πιθανά συμπτώματα COVID-19.
Αυτό φυσικά, δεν εμποδίζει τους εργοδότες να αναφέρουν συγκεκριμένες περιπτώσεις εργαζομένων με COVID-19 στις αρμόδιες υγειονομικές αρχές.
Η CNIL έχει δηλώσει ρητά ότι, αν ένας εργοδότης ειδοποιηθεί για κρούσμα COVID-19 που αφορά σε υπάλληλό του, ο εργοδότης μπορεί να καταγράφει:
– την ημερομηνία και την ταυτότητα του προσώπου για το οποίο υπάρχει υποψία ότι έχει εκτεθεί στον ιό,
– τα οργανωτικά μέτρα που λαμβάνονται (απομόνωση, απομακρυσμένη εργασία, επαφή με τον γιατρό στο χώρο εργασίας κ.λπ.).
Η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, προειδοποίησε τους εργοδότες να μην απαιτούν από τους υπαλλήλους να ενημερώνουν καθημερινά για τις θερμοκρασίες του σώματος τους ή να συμπληρώνουν τα ιατρικά φύλλα ή τα ερωτηματολόγια.
Τέλος, η βελγική εποπτική αρχή στις οδηγίες που εξέδωσε αναφέρει ότι η δημόσια υγεία και η πρόληψη των ασθενειών δεν είναι ασυμβίβαστες με το δικαίωμα στην ιδιωτική ζωή.
Η επεξεργασία των προσωπικών δεδομένων μπορεί να γίνει βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) και του άρθρου 9 παράγραφος 2 στοιχείο β) του GDPR σε κάθε περίπτωση. Πρέπει, όμως, να τηρούνται οι αρχές της αναλογικότητας, της ελαχιστοποίησης των δεδομένων,της διαφάνειας και της εμπιστευτικότητας.
Υπό το πρίσμα αυτό, ο εργοδότης δεν μπορεί να αποκαλύψει τα ονόματα των μολυσμένων υπαλληλων με COVID-19.
Ο εργοδότης μπορεί να ενημερώσει μόνο τους άλλους υπαλλήλους για την κατάσταση χωρίς να αναφέρει την ταυτότητα τους.
Συλλογή και γνωστοποίηση προσωπικών δεδομένων των εργαζομένων:
Ιρλανδία, Ισπανία, Δανία και Ηνωμένο Βασίλειο
Η Αρχή της Ιρλανδίας, η οποία είναι αρμόδια για πολλές εταιρείες της Silicon Valley, εξέδωσε οδηγίες, σύμφωνα με τις οποίες οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία εφόσον εφαρμόζονται οι κατάλληλες διασφαλίσεις.
Αυτές οι διασφαλίσεις μπορεί να περιλαμβάνουν περιορισμό της πρόσβασης στα δεδομένα, αυστηρές προθεσμίες για τη διαγραφή και άλλα μέτρα, όπως κατάλληλη εκπαίδευση προσωπικού για την προστασία των δικαιωμάτων προστασίας των δεδομένων των ατόμων.
Στην ίδια κατεύθυνση κινείται και η Αρχή της Ισπανίας. Διευκρινίζει παράλληλα ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ’ αρχήν να διενεργείται μονάχα εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση.
Ταυτόχρονα, υπογραμμίζει ότι θα πρέπει να τηρούνται όλες οι αρχές αναφορικά με την επεξεργασία που περιέχονται στο άρθρο 5 του GDPR.
Η Δανέζικη Αρχή, έχει επίσης εκδώσει οδηγίες και αναγνωρίζει ότι σε ορισμένες περιπτώσεις μπορούν να συλλέγονται και να γνωστοποιούνται προσωπικά δεδομένα, συμπεριλαμβανομένων ευαίσθητων προσωπικών δεδομένων, υπογραμμίζοντας όμως την σημασία της αξιολόγησης της νομιμότητας της επεξεργασίας και του περιορισμού στο μέτρο που είναι απαραίτητο.
Η Δανέζικη Αρχή συνιστά συνεπώς στους εργοδότες να εξετάσουν:
– εάν υπάρχει σοβαρός λόγος συλλογής ή αποκάλυψης των εν λόγω προσωπικών δεδομένων,
– εάν τα συγκεκριμένα προσωπικά δεδομένα είναι απαραίτητα, συμπεριλαμβανομένου του κατά πόσον ο σκοπός του εργοδότη μπορεί να επιτευχθεί με τη συλλογή λιγότερων,
– αν είναι απαραίτητο να γνωστοποιήσουν το όνομα του προσβεβλημένου προσώπου ή της καραντίνας αυτού.
Η Αρχή του Ηνωμένου Βασιλείου (ICO), στις οδηγίες που εξέδωσε αναφέρει ότι, οι νόμοι για την προστασία δεδομένων και την ηλεκτρονική επικοινωνία δεν εμποδίζουν την κυβέρνηση, ή άλλους επαγγελματίες Υγείας να αποστέλλουν μηνύματα δημόσιας υγείας στους ανθρώπους, είτε μέσω τηλεφώνου, μηνυμάτων ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν άμεσο μάρκετινγκ.
Ούτε τους εμποδίζει να χρησιμοποιούν την πιο πρόσφατη τεχνολογία για να διευκολύνουν ασφαλείς και γρήγορες διαβουλεύσεις και διαγνώσεις.
Οι δημόσιοι φορείς ενδέχεται να απαιτούν πρόσθετη συλλογή και ανταλλαγή δεδομένων προσωπικού χαρακτήρα για την προστασία από σοβαρές απειλές κατά της δημόσιας υγείας.
Μία πιο ουδέτερη στάση:
Σλοβακία, Σλοβενία, Νορβηγία, Σουηδία, Πολωνία και Γερμανία
Η Αρχή της Σλοβακίας υπογραμμίζει ότι οι μετρήσεις θερμοκρασίας εμπίπτουν στην επεξεργασία μιας ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα και ο GDPR προβλέπει ειδικούς όρους στο άρθρο 9 για τη νόμιμη επεξεργασία τέτοιων δεδομένων.
Η Αρχή της Σλοβενίας αναφέρει ότι οι αρμόδιες αρχές πρέπει να κάνουν εκτιμήσεις κατά περίπτωση και να καθορίσουν ποιες πληροφορίες απαιτούνται για την προστασία των ζωτικών συμφερόντων των πολιτών.
Η Αρχή της Νορβηγίας και η Αρχή της Σουηδίας στις οδηγίες που εξέδωσαν αναφέρουν ότι πληροφορίες όπως το ότι ένας υπάλληλος επέστρεψε από “περιοχή κινδύνου” και ότι έχει τεθεί σε καραντίνα (χωρίς όμως να δίνονται περισσότερες λεπτομέρειες σχετικά με την αιτία) δε θεωρούνται πληροφορίες σχετικές με την υγεία του εργαζομένου.
Ο Πρόεδρος της Πολωνικής Αρχής σε δήλωσή του αναφέρει ότι ο GDPR δεν μπορεί να θεωρηθεί εμπόδιο στην καταπολέμηση του COVID-19, στηρίζοντας τις δηλώσεις του στην αιτιολογική σκέψη 46 του GDPR.
Τέλος, ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας αποδέχεται ότι παρόλο που η επεξεργασία των δεδομένων για την υγεία είναι ουσιαστικά δυνατή μόνο με περιοριστικό τρόπο, τα δεδομένα μπορούν να συλλεχθούν και να χρησιμοποιηθούν για να περιοριστεί η πανδημία ή για την προστασία των εργαζομένων. Πρέπει όμως πάντοτε να τηρείται η αρχή της αναλογικότητας.
Για παράδειγμα, σύμφωνα με τον Επίτροπο, τα ακόλουθα μέτρα για τον περιορισμό και την καταπολέμηση της πανδημίας μπορούν να θεωρηθούν νόμιμα:
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας) των εργαζομένων από τον εργοδότη προκειμένου να προληφθεί ή να περιοριστεί η διάδοση του ιού στους εργαζομένους όσο το δυνατόν καλύτερα. Αυτό περιλαμβάνει ιδίως πληροφορίες σχετικά με τις περιπτώσεις στις οποίες έχει εντοπιστεί μία λοίμωξη ή ο εργαζόμενος έχει έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο και κατά τις οποίες πραγματοποιήθηκε κατά την σχετική περίοδο διαμονή σε περιοχή χαρακτηρισμένη ως περιοχή κινδύνου.
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων για την υγεία) από τους επισκέπτες, ιδίως για να διαπιστωθεί εάν έχουν μολυνθεί από τον ιό ή έχουν έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο.
Μπορείτε να μείνετε ενημερωμένοι αναφορικά με σχετικές αποφάσεις Αρχών Προστασίας Προσωπικών Δεδομένων ανά τον κόσμο εδώ.
Η Ελληνική Αρχή
Την Τετάρτη 18 Μαρτίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε με τη σειρά της κατευθυντήριες γραμμές τονίζοντας ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού.
Η Αρχή, κινούμενη στην ίδια σελίδα με τις περισσότερες αρχές της Ευρώπης, υπογραμμίζει ότι το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα και πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας.
Διευκρινίσεις για τον ιδιωτικό τομέα
Ο εκάστοτε εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων στηριζόμενος στα άρθρα 42,45 και 49 του ν 3850/2010.
Γενικές Οδηγίες
Η Αρχή διευκρινίζει ότι:
– Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας.
– Πληροφορίες όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα.
Επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου;
Ο υπεύθυνος επεξεργασίας δεν µπορεί εκ προοιµίου να αποκλείσει ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται οι προϋποθέσεις του Γενικου Κανονισμού. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό τηρουµένης της αρχής της ασφαλούς επεξεργασίας μέσω της λήψης απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας.
Η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.
Επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων: Δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
Γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων Ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή, αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, και ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
Επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς
Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19
Δημόσιες Αρχές
– Από το Γενικό Κανονισμό παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία που διενεργείται από τις αρµόδιες δηµόσιες αρχές για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες Πράξεις Νομοθετικού Περιεχομένου, προς τον σκοπό της αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού, που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας ( άρθρα 6 παρ. 1 εδ. γ’, δ’ και ε’ και 9 παρ. 2 εδ. β’, ε’ , η’ και θ’ του ΓΚΠΔ )
– Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆).
– Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.
– Η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία.
Αντί επιλόγου
Οι κατευθυντήριες γραμμές που εξέδωσε η ΑΠΔΠΧ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 αποτελούν ένα σημαντικό βοήθημα στην καθημερινή λειτουργία κάθε οργανισμού.
Οι μέρες που διανύουμε σαφώς ανέδειξαν περισσότερο από ποτέ την ανάγκη για ατομική υπευθυνότητα και δράση.
Η δική μας συμβουλή, είναι ότι δεν χρειάζεται πανικός και βιαστικές κινήσεις ούτε στα εργασιακά ζητήματα.
Οι οργανισμοί που θα επεξεργαστούν δεδομένα προσωπικού χαρακτήρα (που ενδεχομένως να αφορούν την υγεία) θα πρέπει πρώτα να θεσπίσουν τις απαραίτητες, ανάλογες και σωστά αιτιολογημένες διαδικασίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη διαχείριση του COVID-19.
Αυτές θα πρέπει να είναι διαφανείς, συμπεριλαμβανομένου του σκοπού της συλλογής των προσωπικών δεδομένων και του χρόνου διατήρησής τους.
Κάθε επεξεργασία δεδομένων στο πλαίσιο της πρόληψης της εξάπλωσης του COVID-19, πρέπει να διεξάγεται κατά τρόπο που εξασφαλίζει την ασφάλεια των δεδομένων, ιδίως όσον αφορά τα δεδομένα υγείας.
Η ταυτότητα των προσβεβλημένων ατόμων, δεν θα πρέπει να γνωστοποιείται στους συναδέλφους, παρά μόνο στην περίπτωση όπου θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, για την επίτευξη της διασφάλισης των ζωτικών συμφερόντων των εργαζομένων.
Όπως συμβαίνει με κάθε επεξεργασία δεδομένων, πρέπει να υποβληθεί σε επεξεργασία μόνο το ελάχιστο απαραίτητο ποσό δεδομένων για την επίτευξη των σκοπών εφαρμογής μέτρων για την πρόληψη ή τη διατήρηση της εξάπλωσης του COVID-19 και μόνο για τον σκοπό αυτό και όχι για άλλους.
Μια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.
Η επόμενη ημέρα από την πανδημία θα έρθει και είναι σημαντικό να βγούμε από αυτή την κατάσταση με όσο το δυνατόν λιγότερες απώλειες σε όλους τους τομείς.
Και όπως εύστοχα τονίζει η καθηγήτρια κ. Μήτρου “Δεν πρέπει να αποτελέσει η πανδημία την θρυαλλίδα νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή μίας γενικευμένης εισβολής στην ιδιωτική ζωή των ανθρώπων”.
*Η Μαρίνα Ζαχαροπούλου είναι απόφοιτος της Νομικής Σχολής του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών και ασκούμενη δικηγόρος. Αυτή την περίοδο παρακολουθεί τις μεταπτυχιακές της σπουδές με τίτλο ” Artificial Intelligence/ Digital Technology Management” στο Πανεπιστήμιο της Bologna.
ΑΠΔΠΧ: Κατευθυντήριες γραμμές για τη διαχείριση του COVID-19
Σήμερα 18/03/2020, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Ελλάδας (ΑΠΔΠΧ) προχώρησε σε δημοσίευση κατευθυντήριων γραμμών για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του COVID-19 (κορωνοϊού).
Η ΑΠΔΠΧ αναγνωρίζοντας τις ιδιαίτερες συνθήκες που δηµιουργούνται στον τοµέα της προστασίας των δεδοµένων προσωπικού χαρακτήρα και του σεβασµού των θεµελιωδών δικαιωµάτων και ελευθεριών των πολιτών, από την εξαιρετικά επείγουσα και απρόβλεπτη ανάγκη για την αντιµετώπιση των αρνητικών συνεπειών λόγω της εµφάνισης του κορωνοϊού COVID-19, τον περιορισµό της διάδοσής του και τη λήψη συναφών αναγκαίων µέτρων σύµφωνα µε τις εκδοθείσες Πράξεις Νοµοθετικού Περιεχοµένου και τη σχετική νοµοθεσία στο πλαίσιο των συναφών ενεργειών των υπευθύνων επεξεργασίας στο µέτρο που συνιστούν επεξεργασία εξέδωσε σήμερα τις εν λόγω κατευθυντήριες γραμμές με τις οποίες εστιάζει σε δέκα σημεία αναφοράς.
Μπορείτε να δείτε το πλήρες κείμενο των κατευθυντήριων γραμμών εδώ.
Η Αρχή επιφυλάσσεται να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί, µε βάση την εξέλιξη των πραγµατικών και νοµικών δεδοµένων.
Διαθέσιμες πλέον οι αναγκαίες πληροφορίες στην ιστοσελίδα της ΕΛ.ΑΣ
Σήμερα, 16/03/2020, η Ελληνική Αστυνομία (ΕΛ.ΑΣ) δημοσίευσε στην ιστοσελίδα της πληροφορίες αναφορικά με την επεξεργασία προσωπικών δεδομένων από πλευράς της, όπως τη ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας της ή τα δικαιώματα του υποκειμένου των δεδομένων.
Θυμίζουμε ότι η ΕΛ.ΑΣ μέχρι σήμερα δεν είχε αναρτήσει δημόσια στον ιστότοπό της αυτές τις πληροφορίες παραβιάζοντας τις διατάξεις του Άρθρου 53 του Ν.4624/2019.
Συγκεκριμένα, η ΕΛ.ΑΣ προχώρησε στην εν λόγω δημοσίευση έξι (6) και πλέον μήνες μετά τη θέση σε ισχύ των διατάξεων του Ν.4624/2019, και δύο (2) και πλέον μήνες μετά την γνωστοποίηση της εν λόγω παραβίασης ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) από τη Homo Digitalis.
Βέβαια, το διάστημα των έξι και πλέον μηνών κατά το οποίο οι εν λόγω πληροφορίες δεν βρίσκονταν διαθέσιμες είναι ιδιαίτερα σημαντικό και η ΑΠΔΠΧ έχει λάβει υπόψιν της την γνωστοποίηση παράβασης που έχει καταθέσει η Homo Digitalis και την έχει χρεώσει προς εξέταση σε ελεγκτή της.
Μπορείτε να δείτε το σχετικό πεδίο στην ιστοσελίδα της ΕΛ.ΑΣ εδώ.
Τι είναι η Ομομορφική Κρυπτογράφηση;
Γράφει ο Αναστάσιος Αραμπατζής*
Κάθε μέρα επιχειρήσεις, οργανισμοί και υπηρεσίες χειρίζονται πολλές ευαίσθητες πληροφορίες, όπως προσωπικά και χρηματοοικονομικά δεδομένα, τα οποία πρέπει να κρυπτογραφούνται τόσο όταν αποθηκεύονται όσο και κατά τη μετάδοσή τους.
Αν και το «σπάσιμο» των σύγχρονων αλγορίθμων κρυπτογράφησης απαιτεί πολύ μεγάλη επεξεργαστική ισχύ, το οποίο καθιστά την όλη διαδικασία πολύ δαπανηρή και χρονοβόρα για να είναι εφικτή (τουλάχιστον μέχρι την έλευση της κβαντικής υπολογιστικής), είναι επίσης αδύνατο να επεξεργαστούμε τα δεδομένα χωρίς να τα αποκρυπτογραφήσουμε πρώτα. Και η αποκρυπτογράφηση των δεδομένων, τα καθιστά ευάλωτα σε κακόβουλους δρώντες.
Το πρόβλημα με την κρυπτογράφηση των δεδομένων είναι ότι αργά ή γρήγορα θα απαιτηθεί να τα αποκρυπτογραφήσουμε. Μπορούμε να αποθηκεύσουμε τα αρχεία μας κρυπτογραφικά κωδικοποιημένα σε οποιοδήποτε «σύννεφο», αλλά μόλις απαιτηθεί να κάνουμε κάτι με αυτά τα αρχεία, οτιδήποτε από την επεξεργασία ενός εγγράφου του Word έως την υποβολή ερωτημάτων σε μια βάση χρηματοοικονομικών δεδομένων, θα πρέπει πρώτα να «ξεκλειδώσουμε» τα δεδομένα και να τα αφήσουμε ευάλωτα.
Η ομομορφική κρυπτογράφηση (homomorphic encryption), μια σημαντική εξέλιξη στην επιστήμη της κρυπτογραφίας, υπόσχεται να λύσει αυτό το πρόβλημα.
Τι είναι όμως η Ομομορφική Κρυπτογράφηση;
Ο σκοπός της ομομορφικής κρυπτογράφησης είναι να επιτρέψει την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα. Έτσι τα δεδομένα μπορούν να παραμείνουν εμπιστευτικά κατά την επεξεργασία τους, επιτρέποντας την επίτευξη χρήσιμων εργασιών με τα αυτά ενώ είναι αποθηκευμένα σε μη αξιόπιστα περιβάλλοντα. Σε έναν κόσμο κατανεμημένων υπολογιστικών πόρων και ετερογενούς δικτύωσης, αυτή είναι μια εξαιρετικά πολύτιμη δυνατότητα.
Ένα ομομορφικό κρυπτογραφικό σύστημα είναι σαν τις άλλες μορφές ασύμμετρης κρυπτογράφησης, επειδή χρησιμοποιεί ένα δημόσιο κλειδί για την κρυπτογράφηση των δεδομένων και επιτρέπει μόνο στο άτομο με το κατάλληλο ιδιωτικό κλειδί να προσπελάσει τα μη κρυπτογραφημένα δεδομένα.
Ωστόσο, αυτό που το ξεχωρίζει από άλλες μορφές κρυπτογράφησης είναι ότι χρησιμοποιεί ένα αλγεβρικό σύστημα που επιτρέπει σε εμάς ή σε εξουσιοδοτημένους τρίτους να εκτελέσουν μια ποικιλία υπολογισμών (ή λειτουργιών) στα κρυπτογραφημένα δεδομένα.
Στα μαθηματικά ο όρος «ομομορφικό» περιγράφει τον μετασχηματισμό ενός συνόλου δεδομένων σε ένα άλλο διατηρώντας παράλληλα τις σχέσεις μεταξύ των στοιχείων και στα δύο σύνολα. Επειδή τα δεδομένα σε ένα ομομορφικό σύστημα κρυπτογράφησης διατηρούν την ίδια δομή, πανομοιότυπες μαθηματικές λειτουργίες, είτε αυτές εκτελούνται σε κρυπτογραφημένα ή σε μη κρυπτογραφημένα δεδομένα, θα οδηγήσουν σε ισοδύναμα αποτελέσματα.
Η εύρεση μιας μεθόδου για την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα αποτελούσε στόχο της κρυπτογραφίας από όταν προτάθηκε το 1978 από τους Rivest, Adleman και Δερτούζο. Το ενδιαφέρον για αυτό το θέμα οφείλεται στις πολυάριθμες εφαρμογές του στον πραγματικό κόσμο.
Η ανάπτυξη της πλήρους ομομορφικής κρυπτογράφησης αποτελεί μία επαναστατική πρόοδο για το πεδίο της κρυπτογραφίας, επεκτείνοντας σε μεγάλο βαθμό το πεδίο των υπολογισμών που μπορούν να εφαρμοστούν για την επεξεργασία κρυπτογραφημένων δεδομένων ομομορφικά.
Το ενδιαφέρον για τη βελτίωση, υλοποίηση και εφαρμογή της πλήρους ομομορφικής κρυπτογράφησης εντάθηκε όταν ο Craig Gentry δημοσίευσε το 2009 την εργασία του που περιέγραφε λεπτομερώς αυτό το σχήμα ομομορφικής κρυπτογράφησης.
Τύποι Ομομορφικής Κρυπτογράφησης
Υπάρχουν τρεις τύποι ομομορφικής κρυπτογράφησης:
– Μερικώς ομομορφική κρυπτογράφηση
– Κάπως ομομορφική κρυπτογράφηση
– Πλήρης ομομορφική κρυπτογράφηση
Η κύρια διαφορά μεταξύ τους σχετίζεται με τους τύπους και τη συχνότητα των μαθηματικών λειτουργιών που μπορούν να εκτελεστούν σε κρυπτογραφημένα δεδομένα.
Η μερικώς ομομορφική κρυπτογράφηση επιτρέπει την εκτέλεση μόνο συγκεκριμένων μαθηματικών συναρτήσεων σε κρυπτογραφημένες τιμές. Αυτό σημαίνει ότι μόνο μία λειτουργία, είτε πρόσθεση είτε πολλαπλασιασμός, μπορεί να εκτελεστεί απεριόριστα στα κρυπτογραφημένα δεδομένα. Η μερικώς ομομορφική κρυπτογράφηση με πολλαπλασιαστικές λειτουργίες είναι η βάση για την κρυπτογράφηση RSA, η οποία χρησιμοποιείται συνήθως για τη δημιουργία ασφαλών συνδέσεων μέσω SSL/TLS.
Ένα κάπως ομομορφικό σύστημα κρυπτογράφησης είναι αυτό που υποστηρίζει την επιλογή λειτουργίας (είτε πρόσθεση ή πολλαπλασιασμό) μίας ορισμένης πολυπλοκότητας, αλλά αυτές οι λειτουργίες μπορούν να εκτελεστούν μόνο για ένα πεπερασμένο αριθμό.
Πλήρης Ομομορφική Κρυπτογράφηση
Η πλήρης ομομορφική κρυπτογράφηση (Fully Homomorphic Encryption, FHE), παρότι βρίσκεται ακόμα στο στάδιο της ανάπτυξης, έχει πολλές δυνατότητες να καταστήσει τη λειτουργικότητα συμβατή με την ιδιωτικότητα, βοηθώντας να διατηρήσουμε τις πληροφορίες ασφαλείς και προσβάσιμες ταυτόχρονα.
Η πλήρης ομομορφική κρυπτογράφηση χρησιμοποιεί τόσο την πρόσθεση όσο και τον πολλαπλασιασμό, για απεριόριστες φορές, ενώ επιτρέπει με ασφάλεια την ταυτόχρονη εκτέλεση λειτουργιών από πολλαπλά μέρη (multi-party computation). Σε αντίθεση με τις άλλες μορφές ομομορφικής κρυπτογράφησης, μπορεί να χειριστεί τυχαίους υπολογισμούς στα κρυπτογραφημένα δεδομένα.
Εφαρμογές Πλήρους Ομομορφικής Κρυπτογράφησης
Ο Craig Gentry ανέφερε στη διατριβή του ότι «η πλήρης ομομορφική κρυπτογράφηση έχει πολλαπλές εφαρμογές. Για παράδειγμα, επιτρέπει ιδιωτικά ερωτήματα σε μια μηχανή αναζήτησης.
Ο χρήστης υποβάλλει ένα κρυπτογραφημένο ερώτημα και η μηχανή αναζήτησης υπολογίζει μια συνοπτική κρυπτογραφημένη απάντηση χωρίς ποτέ να εξετάσει το περιεχόμενο του ερωτήματος. Επίσης, επιτρέπει την αναζήτηση σε κρυπτογραφημένα δεδομένα. Ένας χρήστης αποθηκεύει κρυπτογραφημένα αρχεία σε έναν απομακρυσμένο διακομιστή αρχείων και μπορεί αργότερα να ανακτήσει από τον διακομιστή μόνο τα αρχεία που (όταν αποκρυπτογραφηθούν) ικανοποιούν ορισμένους περιορισμούς δυαδικής τιμής. Γενικότερα, η πλήρης ομομορφική κρυπτογράφηση βελτιώνει την απόδοση του ασφαλούς υπολογισμού από πολλαπλά μέρη.»
Οι ερευνητές έχουν ήδη προσδιορίσει αρκετές πρακτικές εφαρμογές της πλήρους ομομορφικής κρυπτογράφησης, όπως:
-Προστασία δεδομένων που είναι αποθηκευμένα στο cloud.
Χρησιμοποιώντας την ομομορφική κρυπτογράφηση, μπορούμε να ασφαλίσουμε τα δεδομένα που αποθηκεύουμε στο cloud, διατηρώντας παράλληλα τη δυνατότητα να υπολογίσουμε και να αναζητήσουμε πληροφορίες που μπορούμε να αποκρυπτογραφήσετε αργότερα, χωρίς να διακυβεύουμε την ακεραιότητα των δεδομένων στο σύνολό τους.
-Ανάλυση δεδομένων για ερευνητικούς σκοπούς.
Η ομομορφική κρυπτογράφηση επιτρέπει την κρυπτογράφηση και την αποδέσμευση δεδομένων σε εμπορικά περιβάλλοντα για σκοπούς έρευνας και διαμοιρασμού δεδομένων, προστατεύοντας παράλληλα το απόρρητο των δεδομένων των χρηστών ή των ασθενών. Μπορεί να χρησιμοποιηθεί για επιχειρήσεις και οργανισμούς σε διάφορες βιομηχανίες, όπως χρηματοοικονομικές υπηρεσίες, λιανική πώληση, τεχνολογία πληροφοριών και υγειονομική περίθαλψη, ώστε να επιτρέπουν στους χρήστες να χρησιμοποιούν τα δεδομένα χωρίς να έχουν πρόσβαση στις μη κρυπτογραφημένες τιμές τους.
Παραδείγματα αποτελούν η προγνωστική ανάλυση των ιατρικών δεδομένων χωρίς να τίθεται σε κίνδυνο το απόρρητο των δεδομένων, η διατήρηση του απορρήτου των πελατών για τη διενέργεια εξατομικευμένων διαφημίσεων, οι αλγόριθμοι πρόβλεψης τιμών μετοχών και η ιατροδικαστική αναγνώριση εικόνας.
-Bελτίωση της ασφάλειας των εκλογών και της διαφάνειας.
Οι ερευνητές εργάζονται για το πώς να χρησιμοποιήσουν την ομομορφική κρυπτογράφηση για να καταστήσουν τις δημοκρατικές εκλογές πιο ασφαλείς και διαφανείς. Αυτή η τεχνολογία θα μπορούσε όχι μόνο να προστατεύσει τα δεδομένα από τη χειραγώγηση και αλλοίωση, αλλά θα μπορούσε να επιτρέψει και την ανεξάρτητη επαλήθευση από εξουσιοδοτημένα μέρη.
Περιορισμοί Πλήρους Ομομορφικής Κρυπτογράφησης
Επί του παρόντος υπάρχουν δύο γνωστοί περιορισμοί της πλήρους ομομορφικής κρυπτογράφησης. Ο πρώτος περιορισμός είναι η υποστήριξη για πολλαπλούς χρήστες.
Ας υποθέσουμε ότι υπάρχουν πολλοί χρήστες του ίδιου συστήματος το οποίο βασίζεται σε μια εσωτερική βάση δεδομένων που χρησιμοποιείται για υπολογισμούς, οι οποίοι επιθυμούν να προστατεύσουν τα προσωπικά τους δεδομένα από τον πάροχο του συστήματος. Μια λύση θα ήταν ο πάροχος να έχει μια ξεχωριστή βάση δεδομένων για κάθε χρήστη, κρυπτογραφημένη με το δημόσιο κλειδί του κάθε χρήστη. Εάν όμως η βάση δεδομένων είναι πολύ μεγάλη και υπάρχουν πολλοί χρήστες, η υλοποίηση αυτής της λύσης είναι αδύνατη.
Ένας δεύτερος περιορισμός αφορά εφαρμογές που περιλαμβάνουν την εκτέλεση πολύ μεγάλων και πολύπλοκων αλγορίθμων. Όλα τα πλήρη ομομορφικά συστήματα κρυπτογράφησης έχουν μια μεγάλη υπολογιστική επιβάρυνση, η οποία περιγράφει την αναλογία του χρόνου εκτέλεσης ενός υπολογισμού σε κρυπτογραφημένα δεδομένα έναντι του χρόνου εκτέλεσης του ίδιο υπολογισμού σε μη κρυπτογραφημένα δεδομένα. Αυτή η υπολογιστική επιβάρυνση καθιστά τον ομομορφικό υπολογισμό πολύπλοκων λειτουργιών μη πρακτικό.
Υλοποιήσεις Πλήρους Ομομορφικής Κρυπτογράφησης
Μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας στον κόσμο έχουν ξεκινήσει προγράμματα για να βελτιστοποιήσουν την ομομορφική κρυπτογράφηση και να την καταστήσουν καθολικά διαθέσιμη και φιλική προς τον χρήστη.
Η Microsoft, για παράδειγμα, έχει δημιουργήσει τη βιβλιοθήκη SEAL (Simple Encrypted Arithmetic Library), ένα σύνολο βιβλιοθηκών κρυπτογράφησης που επιτρέπουν την εκτέλεση υπολογισμών απευθείας σε κρυπτογραφημένα δεδομένα. Με την τεχνολογία της ομομορφικής κρυπτογράφησης ανοιχτού κώδικα, η ομάδα της Microsoft συνεργάζεται με εταιρείες για τη δημιουργία υπηρεσιών αποθήκευσης και υπολογισμού κρυπτογραφημένων δεδομένων από άκρο σε άκρο (end-to-end encryption). Οι εταιρείες μπορούν να χρησιμοποιήσουν τη βιβλιοθήκη SEAL για να δημιουργήσουν πλατφόρμες ανάλυσης δεδομένων με χρήση κρυπτογραφημένων πληροφοριών, ενώ οι κάτοχοι των δεδομένων δεν απαιτείται ποτέ να μοιράζονται το κλειδί κρυπτογράφησης με οποιονδήποτε άλλο χρήστη. Ο στόχος, λέει η Microsoft, είναι να «βάλουμε τη βιβλιοθήκη μας στα χέρια κάθε προγραμματιστή, έτσι ώστε να μπορούμε να συνεργαστούμε για πιο ασφαλή, ιδιωτικά και αξιόπιστα υπολογιστικά συστήματα».
Η Google ανακοίνωσε επίσης τη στήριξή της για την ομομορφική κρυπτογράφηση αποκαλύπτοντας το δικό της κρυπτογραφημένο εργαλείο ανοιχτού κώδικα, το Private Join and Compute. Το εργαλείο της Google επικεντρώνεται στην ανάλυση δεδομένων σε κρυπτογραφημένη μορφή, όπου ορατές είναι μόνο οι πληροφορίες που προκύπτουν από την ανάλυση και όχι τα υποκείμενα δεδομένα.
Τέλος, με στόχο να γίνει διαδεδομένη η ομομορφική κρυπτογράφηση, η IBM αποδέσμευσε το 2016 την πρώτη έκδοση της βιβλιοθήκης HElib, η οποία σύμφωνα με πληροφορίες «ήταν 100 τρισεκατομμύρια φορές πιο αργή από τις λειτουργίες σε απλό κείμενο.» Έκτοτε, η IBM έχει εργαστεί για την επίλυση αυτού του προβλήματος και έχει καταλήξει σε μια έκδοση που είναι 75 φορές ταχύτερη, αλλά εξακολουθεί να υστερεί έναντι των αντίστοιχων λειτουργιών επί απλού κειμένου.
Συμπέρασμα
Σε μια εποχή που η εστίαση στην ιδιωτικότητα αυξάνεται, κυρίως λόγω κανονισμών όπως ο GDPR, η έννοια της ομομορφικής κρυπτογράφησης παρέχει πολλές υποσχέσεις για εφαρμογή σε διάφορες βιομηχανίες. Οι ευκαιρίες που προκύπτουν από την ομομορφική κρυπτογράφηση είναι σχεδόν ατελείωτες. Ίσως η πιο συναρπαστική πτυχή είναι ο τρόπος με τον οποίο συνδυάζει την ανάγκη προστασίας της ιδιωτικής ζωής με την ανάγκη για λεπτομερή ανάλυση των δεδομένων. Η ομομορφική κρυπτογράφηση μετέτρεψε την «Αχίλλειο πτέρνα» σε δώρο από τους θεούς.
Η αρχική έκδοση του παρόντος άρθρου δημοσιεύθηκε στην ιστοσελίδα της Venafi.
Οι δράσεις της Homo Digitalis στο Protagon
Στις 9 Μαρτίου 2020 το Protagon. δημοσίευσε άρθρο στην ιστοσελίδα του αναφορικά με την εφαρμογή Clearview, η οποία το τελευταίο διάστημα βρίσκεται στο επίκεντρο της προσοχής σε Ευρώπη και Αμερική.
Στο εν λόγω άρθρο γίνεται αναφορά και στις δράσεις της Homo Digitalis σχετικά με το Clearview AI, και συγκεκριμένα στην ανοιχτή επιστολή που είχαμε αποστείλει στις 25 Φερουαρίου στον Υπουργό Προστασίας του Πολίτη κ. Μιχάλη Χρυσοχοΐδη.
Μπορείτε να δείτε το σχετικό άρθρο του Protagon. εδώ.
Ευχαριστούμε θερμά τη δημοσιογραφική ομάδα του Protagon. για το ενδιαφέρον που έδειξε για τις δράσεις μας.