Αποτελέσματα από τα πρώτα αιτήματα πρόσβασης σε πληροφορίες για ερευνητικά προγράμματα στην Ελλάδα
Στο τέλος Ιανουαρίου λάβαμε τις πρώτες απαντήσεις αναφορικά με αιτήσεις που είχαμε αποστείλει στον Εκτελεστικό Οργανισμό Έρευνας (Research Executive Agency -REA) της Ευρωπαϊκής Επιτροπής αναφορικά με επτά (7) ερευνητικά προγράμματα σχετικά με τη χρήση νέων τεχνολογιών στους τομείς της μετανάστευσης και της αστυνόμευσης στην Ελλάδα.
Συγκεκριμένα, στις αρχές Δεκεμβρίου καταθέσαμε αιτήματα προς τον εν λόγω οργανισμό για να αποκτήσουμε έγγραφα που σχετίζονται με την πιλοτική εφαρμογή τεσσάρων (4) προγραμμάτων στον τομέα της προστασίας των συνόρων και τριών (3) προγραμμάτων στον τομέα της αστυνόμευσης. Σε όλα αυτά τα προγράμματα συμμετέχουν ελληνικοί φορείς. Σε κάποια από αυτά λαμβάνουν μέρος το Υπουργείο Άμυνας ή η Ελληνική Αστυνομία, ενώ σε πολλά συμμετέχουν πλήθος ελληνικών εταιριών και κέντρων έρευνας.
Τα εν λόγω προγράμματα έχουν διαφορετικού σκοπούς και εστιάζουν το ενδιαφέρον τους σε διαφορετικές τεχνολογίες, όπως αναγνώριση προσώπου, εντοπισμό ανθρώπων μέσα σε πυκνή βλάστηση με χρήση δορυφόρων, αερόπλοιων (stratobus), drone και επίγειων αισθητήρων, ανάλυση και παρακολούθηση δραστηριότητας χρηστών κοινωνικών δικτύων, κα.
Ωστόσο οι προκλήσεις που ανακύπτουν από την πιθανή εφαρμογή ενός ερευνητικού προγράμματος σαν και αυτά στην πραγματικότητα, κρίνουν αναγκαία την εγρήγορσή μας. Μόνο έτσι μπορούμε να βεβαιωθούμε ότι η ανάπτυξη των εν λόγω τεχνολογιών λαμβάνει υπόψη τις προκλήσεις που ανακύπτουν για τα δικαιώματα του ανθρώπου ήδη από τη στιγμή του σχεδιασμού τους και αναζητά λύσεις για την στάθμιση των εμπλεκόμενων δημόσιων συμφερόντων και δικαιωμάτων.
Τέλος, είναι πολύ σημαντικό να γνωρίζουμε τα μελλοντικά σχέδια προς εκμετάλλευση των αποτελεσμάτων των εν λόγω ερευνητικών προγραμμάτων από τα μέλη-οργανισμούς που συμμετέχουν σε αυτά. Τα εν λόγω προγράμματα χρηματοδοτούνται από χρήματα των ευρωπαίων πολιτών, ενώ δεν πρέπει να λησμονούμε τους κινδύνους που ανακύπτουν για τη χρήση των εν λόγω τεχνολογιών για στρατιωτικούς σκοπούς.
Μπορείτε να δείτε όλα τα αιτήματα μας και τα σχετικά έγγραφα που λάβαμε μέχρι στιγμής στην ιστοσελίδα “www.asktheeu.org” τόσο για τον τομέα της αστυνόμευσης όσο και για τον τομέα της προστασίας συνόρων.
Η εποχή της "συγκομιδής" των προσωπικών δεδομένων
Γράφει η Αδαμαντία Βολικού*
Η ονομαζόμενη «συγκομιδή δεδομένων» αποτελεί, στη σύγχρονη εποχή, μια δραστηριότητα δημοφιλή και συχνά ιδιαίτερα επικερδή για όσους ασχολούνται με αυτή.
-Μπορεί, ωστόσο, η συγκομιδή αυτή να γίνεται ανεξέλεγκτα ή υπόκειται σε περιορισμούς;
-Και τι συμβαίνει όταν άλλοι συγκεντρώνουν τα προσωπικά μας δεδομένα, τους καρπούς δηλαδή της δικής μας «σοδειάς»;
Τι είναι «συγκομιδή δεδομένων»;
Ο όρος «συγκομιδή» ή «απόξεση» ή «απόσπαση» δεδομένων (data scraping) είναι ένας γενικός όρος, ο οποίος αναφέρεται σε όλες τις μεθόδους που χρησιμοποιούνται και στοχεύουν στην απόκτηση και συλλογή δεδομένων από το διαδίκτυο.
Η συγκομιδή μπορεί να γίνεται από μεμονωμένα άτομα και χειροκίνητα –ποιος από εμάς άλλωστε δεν έχει συλλέξει πληροφορίες από το διαδίκτυο; – ωστόσο, σήμερα, ο συνηθέστερος τρόπος που επιτρέπει τη συλλογή εξαιρετικά μεγάλου όγκου δεδομένων σε ασύγκριτα ταχύτερο χρόνο είναι ο αυτοματοποιημένος. Η αυτοματοποιημένη συγκομιδή δεδομένων πραγματοποιείται με τη χρήση ειδικού λογισμικού, το οποίο στοχεύει στην απόσπαση δεδομένων που βρίσκονται στο διαδίκτυο και, πρακτικά, αποτελεί μια μορφή αντιγραφής δεδομένων, τα οποία συγκεντρώνονται για μεταγενέστερη ανάλυση και χρήση.
Τις βασικότερες μορφές συγκομιδής δεδομένων αποτελούν:
α) η απόσπαση στοχευμένων και συγκεκριμένων δεδομένων από ιστοσελίδες (screen scraping, ελλ. «συγκομιδή δεδομένων οπτικής εξόδου»),
β) η απόκτηση όλων των δεδομένων ενός ιστοτόπου, συμπεριλαμβανομένης της γλώσσας προγραμματισμού του και η μετατροπή τους στη μορφή που επιθυμεί ο αποκτών λ.χ. δημιουργία αρχείου ή βάσης δεδομένων (web scraping ή web harvesting, ελλ. «ιστοσυγκομιδή») και
γ) η χρήση προγραμμάτων-ρομπότ (web spiders, web crawlers, scraper bots, search bots), τα οποία διατρέχουν τις σελίδες του παγκόσμιου ιστού και αντιγράφουν το περιεχόμενό τους και το περιεχόμενο των υπερσυνδέσμων (hyperlinks) που περιέχονται σε αυτές ώστε να δημιουργήσουν ευρετήρια του internet (web crawling ή web spidering, ελλ. «ανίχνευση ιστού»). Η μέθοδος αυτή χρησιμοποιείται κυρίως από μηχανές αναζήτησης (Google, Bing κλπ.), με σκοπό να αυξήσουν, να επικαιροποιήσουν και να κάνουν πιο ελκυστικά τα αποτελέσματα αναζήτησης.
Πού χρησιμεύει η συγκομιδή δεδομένων και πώς μας αφορά;
Η συγκέντρωση και ανάλυση κάθε μορφής δεδομένων και πληροφοριών από ηλεκτρονικά προσβάσιμες πηγές δεν αποτελούν είδηση για το σύγχρονο κόσμο. Χρησιμοποιούνται ευρέως εδώ και έτη σε πολλούς κλάδους που επηρεάζουν άμεσα ή έμμεσα την καθημερινή μας ζωή.
Η συλλογή και χρήση δεδομένων προορίζεται, μεταξύ άλλων, για την προώθηση της ιατρικής έρευνας, την υποστήριξη μεγάλης ή μικρής κλίμακας στατιστικών μελετών, τη διευκόλυνση και ενίσχυση της ακαδημαϊκής έρευνας, την εξέλιξη της επιστήμης γενικότερα και της τεχνολογίας, την προώθηση της οικονομίας και του εμπορίου προς όφελος των καταναλωτών. Στην τελευταία περίπτωση, τα αποτελέσματα των τεχνικών της συγκομιδής δεδομένων γίνονται άμεσα αντιληπτά στο χρήστη του διαδικτύου μέσα από τη δυνατότητα πρόσβασης σε ιστοτόπους σύγκρισης τιμών προϊόντων και υπηρεσιών (λ.χ. τιμές εισιτηρίων, καταλυμάτων και εμπορευμάτων) και τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών ώστε να ανταποκρίνονται στις ανάγκες του σύγχρονου καταναλωτή (λ.χ. έξυπνες συσκευές).
Ωστόσο, η συγκομιδή δεδομένων δεν έχει ως αντικείμενο μόνο την απόκτηση πληροφοριών γενικού, επιστημονικού ή οικονομικού ενδιαφέροντος. Τα προσωπικά δεδομένα των χρηστών του διαδικτύου δηλαδή όλες οι διαθέσιμες στο διαδίκτυο πληροφορίες που σχετίζονται ή μπορούν να σχετιστούν με κάθε χρήστη έχουν ανεκτίμητη αξία για ολόκληρο σχεδόν τον επιχειρηματικό κόσμο του πλανήτη αλλά και για άλλους κλάδους όπως η επιστήμη και η τεχνολογία, για την επιβίωση και εξέλιξή τους σε συνθήκες σκληρού ανταγωνισμού.
Η δραστηριότητα του ανθρώπου στο διαδίκτυο είναι ανεξάντλητη: online αγοραπωλησίες, μέσα κοινωνικής δικτύωσης, επαγγελματική προβολή, υπηρεσίες ηλεκτρονικού ταχυδρομείου, αναζήτηση πληροφοριών, blogs, ανάρτηση σχολίων, υπηρεσίες συνδρομητικές ή όχι, με εγγραφή ή χωρίς. Σύμφωνα με πρόσφατες στατιστικές, ως τις αρχές του 2020 υπολογίζεται ότι κάθε χρήστης παράγει κατά μέσο όρο 1,7 megabytes δεδομένων ανά δευτερόλεπτο. Η ίδια αυτή δραστηριότητα αφήνει πίσω της και τα ίχνη μας, τα προσωπικά δεδομένα, τα οποία γίνονται πολυπόθητο αντικείμενο συγκομιδής.
Με ποιους «μοιραζόμαστε» τα προσωπικά μας δεδομένα;
Η συγκομιδή δεδομένων αποτελεί συνήθη και διαδεδομένη διεθνώς πρακτική για πολλούς κλάδους, οι οποίοι συγκεντρώνουν και αποθηκεύουν τεράστια πακέτα δεδομένων (big data sets) για να τα επεξεργαστούν αργότερα για δική τους χρήση ή για να τα πουλήσουν σε άλλους ενδιαφερόμενους. Η απόσπαση προσωπικών δεδομένων απευθείας από τον παγκόσμιο ιστό γίνεται συχνά δίχως να το γνωρίζουν τα ίδια τα πρόσωπα.
Τα παραδείγματα των κλάδων που δραστηριοποιούνται στη συγκομιδή προσωπικών δεδομένων είναι πολλά:
-Υπεύθυνοι τμημάτων ανθρώπινου δυναμικού και εταιρειών προσλήψεων (recruiters) φιλτράρουν ιστότοπους με βιογραφικά σημειώματα, και προφίλ εργαζομένων, προκειμένου να ενημερώσουν τις βάσεις δεδομένων τους και να διακρίνουν τις τάσεις στην αγορά εργασίας.
-Επιχειρήσεις συλλέγουν δεδομένα για να διαμορφώσουν παγκόσμιες αλλά και τοπικές στρατηγικές προώθησης και διαφήμισης προϊόντων και υπηρεσιών και να διακρίνουν καταναλωτικές τάσεις.
-Πάροχοι τραπεζικών και ασφαλιστικών υπηρεσιών στοχεύουν στην προώθηση προγραμμάτων στους καταναλωτές και στην αξιολόγηση της φερεγγυότητάς τους.
-Η επιστημονική και η ακαδημαϊκή κοινότητα, όπως και τα μέσα μαζικής ενημέρωσης αποσπούν δεδομένα για ερευνητικούς, στατιστικούς και άλλους σκοπούς.
-Δεδομένα από ιστότοπους που περιέχουν ηλεκτρονικές διευθύνσεις ή τηλεφωνικούς αριθμούς χρησιμοποιούνται για ανεπιθύμητες τηλεφωνικές κλήσεις, αποστολή ανεπιθύμητης αλληλογραφίας ή για ηλεκτρονική απάτη.
Πρόσφατα, το σκάνδαλο Facebook-Cambridge Analytica αποκάλυψε τη χρήση της συγκομιδής δεδομένων και στην πολιτική. Εκεί, στόχος της συγκομιδής ήταν ο επηρεασμός της πρόθεσης ψήφου εκατομμυρίων χρηστών της πλατφόρμας.
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστoτόπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα.
Ποια είναι τα προσωπικά δεδομένα;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), ισχύει από τις 25 Μαΐου 2018 στις χώρες της Ευρωπαϊκής Ένωσης και στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Ισλανδία και Λιχτενστάιν). Στο πεδίο του εμπίπτουν όλα τα φυσικά πρόσωπα που βρίσκονται στις χώρες αυτές. Σύμφωνα με τον Κανονισμό, προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») και συντελεί στην αναγνώρισή και ταυτοποίησή του, είτε άμεσα είτε έμμεσα.
Προσωπικά δεδομένα που μπορούν να οδηγήσουν άμεσα στην αναγνώριση ενός φυσικού προσώπου είναι το ονοματεπώνυμο, η διεύθυνση, η ηλεκτρονική διεύθυνση, στοιχεία τραπεζικών λογαριασμών, ημερομηνία γέννησης, στοιχεία επαγγέλματος, δεδομένα υγείας, οπτικό ή ακουστικό υλικό κ.ά.. Επιπλέον, προσωπικά δεδομένα θεωρούνται και όσα χρησιμοποιούνται για την έμμεση αναγνώριση ενός προσώπου δηλαδή αυτή που προκύπτει από το συνδυασμό περισσότερων πληροφοριών. Για παράδειγμα, διευθύνσεις IP, cookies ή άλλα διαδικτυακά ίχνη που αφήνει ένα πρόσωπο κατά την περιήγησή του στο διαδίκτυο, θεωρούνται προσωπικά δεδομένα καθώς όταν συνδυαστούν με άλλα αναγνωριστικά στοιχεία του, οδηγούν έμμεσα στην αναγνώρισή του.
Είναι η συγκομιδή προσωπικών δεδομένων νόμιμη;
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστότοπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα. Οποιοσδήποτε επιχειρεί πρόσβαση και απόσπαση δεδομένων θα πρέπει, αρχικά, να ακολουθεί και να συμμορφώνεται με τους «όρους χρήσης» των ιστοτόπων αυτών. Οι όροι χρήσης ενός ιστότοπου προβλέπουν, συνήθως, αν και σε ποιο βαθμό μπορεί κάποιος να αποσπάσει δεδομένα από αυτόν καθώς και αν απαιτείται για αυτό η προηγούμενη έγγραφη άδεια του ιδιοκτήτη/διαχειριστή του (χαρακτηριστικό παράδειγμα οι όροι του Twitter).
Η απόσπαση δεδομένων κατά παράβλεψη των παραπάνω κανόνων, ή ακόμα και η συγκομιδή δεδομένων από ιστότοπο που δεν έχει αναρτήσει όρους χρήσης ή δεν περιλαμβάνει σε αυτούς περιορισμούς σχετικά με τη συγκομιδή, εκθέτει τον αποσπώντα σε σοβαρούς κινδύνους. Πέρα από την κατάχρηση των κανόνων ηθικής και δεοντολογίας που θεωρείται ότι διέπουν το data scraping, η αθέμιτη και άμετρη χρήση τέτοιων τεχνικών καθιστά αυτόν που τις χρησιμοποιεί υπεύθυνο για παραβίαση του δικαίου των συμβάσεων, των νόμων περί προστασίας της πνευματικής ιδιοκτησίας ή/και του ποινικού δικαίου κατά περίπτωση.
Ειδικότερα, στο πεδίο των προσωπικών δεδομένων, τα τελευταία έτη, η ανεξέλεγκτη και εν αγνοία των χρηστών του διαδικτύου χρήση των τεχνικών συγκομιδής έχει προκαλέσει προβληματισμούς και αντιπαραθέσεις ως προς το αν και σε ποιο βαθμό κινείται εντός νόμιμων ορίων.
Ίσως ο πιο σημαντικός προβληματισμός αφορά στην προστασία των προσωπικών δεδομένων που είναι δημόσια ορατά και προσβάσιμα δηλαδή όσα δεν καλύπτονται από κωδικούς πρόσβασης, ρυθμίσεις απορρήτου και ιδιωτικότητας και άλλα μέτρα προστασίας, και έχουν γίνει δημόσια ορατά είτε από επιλογή του χρήστη, είτε δίχως να το γνωρίζει. Δεν είναι σπάνιο το φαινόμενο, φίλοι, γνωστοί ή άλλοι να αναρτούν στο διαδίκτυο πληροφορίες για εμάς χωρίς να έχουμε ενημερωθεί, ούτε επίσης οι περιπτώσεις στις οποίες τα προφίλ των χρηστών σε διάφορες πλατφόρμες είναι δημόσια ορατά είτε επειδή αμέλησαν να προσαρμόσουν τις ρυθμίσεις ιδιωτικότητας είτε επειδή αυτές είναι γραμμένες σε δυσνόητη γλώσσα.
Το βασικό επιχείρημα όσων αποσπούν δεδομένα (data scrapers) είναι ότι κάθε χρήστης που κατέστησε τα προσωπικά δεδομένα του δημόσια προσβάσιμα παρέχει σιωπηρά τη συγκατάθεσή του για τη συγκομιδή τους αφού γνωρίζει εκ των προτέρων ότι οποιοσδήποτε μπορεί να έχει πρόσβαση σε αυτά. Το επιχείρημα αυτό έκανε δεκτό απόφαση πρωτοβάθμιου δικαστηρίου των ΗΠΑ στην υπόθεση hiQ Labs Inc. v LinkedIn Corpοration.
Στον ευρωπαϊκό χώρο, ο ΓΚΠΔ δεν περιέχει προβλέψεις ή ρυθμίσεις που να αναφέρονται ευθέως στη συγκομιδή δεδομένων. Θέτει, ωστόσο, ένα γενικό πλαίσιο προστασίας των προσωπικών δεδομένων με το οποίο, όσοι εμπλέκονται στη συγκομιδή πρέπει να συμμορφωθούν, εφόσον επιθυμούν οι μέθοδοι αυτές να θεωρούνται νόμιμες και να αποφύγουν κυρώσεις. Το πλαίσιο αυτό θεωρείται ότι προστατεύει τόσο τα δημόσια όσο και τα μη δημόσια προσβάσιμα προσωπικά δεδομένα και ενισχύει το επιχείρημα ότι όταν τα προσωπικά δεδομένα ενός ατόμου είναι δημόσια ορατά και προσβάσιμα, αυτό δεν σημαίνει ότι έχουν τεθεί και σε δημόσια χρήση.
Το προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Είναι επαρκές;
Αρχικά, όσοι πραγματοποιούν συγκομιδή προσωπικών δεδομένων θα πρέπει να στηρίζονται σε κάποιο νόμιμο λόγο/νόμιμη βάση για να το κάνουν.
Από τις νόμιμες βάσεις που προβλέπονται στον ΓΚΠΔ η συγκομιδή μπορεί να στηριχθεί κυρίως σε δύο: είτε στη συγκατάθεση του προσώπου για την επεξεργασία των προσωπικών δεδομένων του, είτε στο να είναι η επεξεργασία απαραίτητη για να εξυπηρετηθούν νόμιμα συμφέροντα αυτού που διενεργεί τη συγκομιδή. Αν όμως τα νόμιμα αυτά συμφέροντα έρχονται σε αντίθεση με θεμελιώδη δικαιώματα των προσώπων, τότε συγκομιδή δεν μπορεί να πραγματοποιηθεί καθώς χάνει τη νόμιμη βάση της.
Επίσης, συγκομιδή στηριζόμενη σε νόμιμα συμφέροντα δεν μπορεί να γίνει όταν πρόκειται να συλλεχθούν «ευαίσθητα προσωπικά δεδομένα» δηλαδή όσα αναφέρονται σε φύλο, καταγωγή, πολιτικές, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή και προσανατολισμό, Εδώ ο ΓΚΠΔ απαιτεί (με εξαιρέσεις) το πρόσωπο να δώσει για τη συγκομιδή όχι απλή αλλά ρητή συγκατάθεση.
Στη συνέχεια, ορίζεται ότι η συγκομιδή δεδομένων θα πρέπει να ακολουθεί ορισμένες βασικές προϋποθέσεις. Αφενός δεν μπορεί να είναι γίνεται απεριόριστα αλλά μόνο στην ποσότητα που είναι απολύτως αναγκαία για το σκοπό για τον οποίο πραγματοποιείται («ελαχιστοποίηση των δεδομένων»). Αφετέρου ο σκοπός αυτός πρέπει να γίνεται γνωστός στα πρόσωπα και να είναι εξ αρχής σαφής και συγκεκριμένος («περιορισμός του σκοπού»).
Τέλος, ο ΓΚΠΔ υποχρεώνει όσους συλλέγουν προσωπικά δεδομένα είτε απευθείας από τα πρόσωπα είτε από άλλες πηγές, όπως συμβαίνει στη συγκομιδή, να ενημερώνουν κάθε πρόσωπο για τη συλλογή και τους σκοπούς της με απλό και κατανοητό τρόπο, γνωστοποιώντας του το κείμενο της λεγόμενης «πολιτικής απορρήτου».
Εφόσον ενημερωθεί, κάθε πολίτης έχει δικαίωμα να επικοινωνήσει με τον αποσπώντα και να ασκήσει τα δικαιώματα που προβλέπει ο ΓΚΠΔ και αυτά είναι: το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία ιδίως όταν αυτή γίνεται αυτοματοποιημένα και στοχεύει στη δημιουργία προφίλ. Αν η επικοινωνία με τον αποσπώντα αποβεί άκαρπη, ο πολίτης μπορεί να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.
Κάπου εδώ ξεκινούν τα προβλήματα. Ο ίδιος ο ΓΚΠΔ δίνει τη δυνατότητα σε όποιον συλλέγει δεδομένα όχι απευθείας από τα πρόσωπα αλλά από άλλες πηγές να μην ενημερώσει χωριστά κάθε πρόσωπο αν η ενημέρωση θεωρείται για κάποιο λόγο αδύνατη (π.χ. κρίνεται αδύνατο να εντοπιστούν όλα τα πρόσωπα ή για να ενημερωθούν όλοι απαιτείται εξοντωτικό κόστος). Σε αυτές τις περιπτώσεις ο αποσπών δεδομένα επιτρέπεται να προχωρήσει σε γενική μόνο ενημέρωση προς το κοινό, μπορεί για παράδειγμα να αναρτήσει τις σχετικές πληροφορίες στον ιστότοπό του.
Είναι αρκετό αυτό για την προστασία των προσωπικών δεδομένων;
Και σημαίνει πώς κάθε πρόσωπο θα πρέπει να επισκεφθεί χιλιάδες ιστoτόπους παγκοσμίως για ενημερωθεί ποιοι αποσπούν προσωπικά του δεδομένα;
Η απάντηση που δίνεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είναι ότι όταν οι αποσπώντες δεδομένα κρίνουν ότι υπάρχει αδυναμία ενημέρωσης, αρκεί να πραγματοποιήσουν τη λεγόμενη «εκτίμηση αντικτύπου» δηλαδή να εξετάσουν μόνοι τους κατά πόσο οι πράξεις τους μπορούν να θέσουν σε κίνδυνο τα δικαιώματα των προσώπων και να λάβουν τα κατάλληλα μέτρα για την προστασία των δεδομένων. Με τη θέση αυτή συντάσσονται και ορισμένες Αρχές Προστασίας Προσωπικών Δεδομένων όπως η βρετανική (ICO) και η ελληνική. Αν δεν υπάρξει ενημέρωση των προσώπων, ούτε εκτίμηση αντικτύπου, τότε όποιος ανακαλυφθεί ότι επιχειρεί συγκομιδή προσωπικών δεδομένων καλείται να πληρώσει πρόστιμο που φτάνει έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης. Πρέπει όμως πρώτα να ανακαλυφθεί…
Τελικά, μπορεί η «αδυναμία ενημέρωσης κάθε προσώπου» να χρησιμοποιηθεί ως δικαιολογία από όσους θέλουν να αποφύγουν να συμμορφωθούν με τον ΓΚΠΔ; Προς το παρόν, η απάντηση είναι αρνητική, και ήρθε από την πολωνική αρχή προστασίας προσωπικών δεδομένων (UODO). H αρχή, τοποθετούμενη αυστηρά υπέρ της προστασίας των προσωπικών δεδομένων, στις αρχές του 2019 επέβαλε πρόστιμο περίπου 220.000 ευρώ σε εταιρεία (Bisnode) επειδή προέβη στη συγκομιδή δημόσια προσβάσιμων προσωπικών δεδομένων εκατομμυρίων Πολωνών ιδιοκτητών επιχειρήσεων με σκοπό να παραχωρήσει έπειτα σε τράπεζες στοιχεία για την πιστοληπτική τους ικανότητα, την ίδια στιγμή που ο μοναδικός τρόπος για να ενημερωθούν οι ίδιοι για τη συλλογή των δεδομένων τους ήταν μέσω μιας σχετικής ανάρτησης της εταιρείας σε ιστοσελίδα της.
Για νεότερες εξελίξεις ας αναμείνουμε στις οθόνες μας.
Υπάρχουν άλλοι τρόποι προστασίας από την αυθαίρετη συγκομιδή δεδομένων;
Η απάντηση είναι θετική, επαφίεται, ωστόσο, στα χέρια αυτών που κατέχουν και διαχειρίζονται τους ιστότοπους από όπου συλλέγονται τα δεδομένα. Η ανάρτηση «όρων χρήσης» σε κάθε ιστότοπο, οι οποίοι να επιτρέπουν την περιορισμένη συγκομιδή δεδομένων μόνο έπειτα από γραπτή άδεια του διαχειριστή ή να απαγορεύουν τη συγκομιδή, έχει θεωρηθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (υπόθεση Ryanair Ltd vPR Aviation BV) ως ένα μέτρο ικανό να περιορίσει την ανεξέλεγκτη συλλογή δεδομένων και να φέρει όσους την επιχειρούν αντιμέτωπους με τις νομικές τους ευθύνες.
Το ίδιο αποτέλεσμα επιτυγχάνεται και με τη χρήση της τεχνολογίας. Κάθε ιστότοπος έχει τη δυνατότητα να περιορίσει τον όγκο των επισκέψεων/αιτημάτων πρόσβασης και απόσπασης δεδομένων που δέχεται από συγκεκριμένες διευθύνσεις IP ή διευθύνσεις IP των scraper bots ή ακόμα και να αποκλείσει εντελώς αυτές (IP addresses blocking). Επίσης, μέσα από τη διαδικασία εγγραφής, σύνδεσης και χρήσης κωδικού πρόσβασης, το περιεχόμενο ενός ιστότοπου γίνεται ορατό μόνο στους εγγεγραμμένους χρήστες του.
Αποτελεσματικές θεωρούνται ομοίως, τόσο η μέθοδος τείχους προστασίας κατά των ρομπότ συγκομιδής (anti-bot firewalls) όσο και η μέθοδος CAPTCHA (επιβεβαίωση ότι η πρόσβαση δεν επιχειρείται από ρομπότ) και, τέλος, η ενσωμάτωση στον ιστότοπο ενός αρχείου ονομαζόμενου robot.txt μέσα από το οποίο ο ιστότοπος ορίζει αν και σε ποιο βαθμό το περιεχόμενό του είναι προσβάσιμο και διαθέσιμο προς συγκομιδή.
Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί.
Αντί για επίλογο
Η συμφιλίωση ανάμεσα στις πρακτικές συγκομιδής και στην προστασία των προσωπικών δεδομένων δεν είναι εύκολη υπόθεση. Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί. Δημιουργούνται πολλά ερωτήματα για το αν το ισχύον νομικό πλαίσιο προστατεύει πλήρως τα προσωπικά δεδομένα και μέχρι να απαντηθούν τη λύση θα μπορούσαν να δώσουν οι ενδιαφερόμενες πλευρές. Όσοι αποσπούν δεδομένα μπορούν να συμμορφώνονται με τους νομικούς και ηθικούς κανόνες, όσοι διαχειρίζονται ιστοσελίδες έχουν τη δυνατότητα με την κατάλληλη τεχνολογία να αποτρέπουν ή να περιορίζουν τη συγκομιδή δεδομένων και οι χρήστες του διαδικτύου μπορούν να είναι προσεκτικότεροι ως προς τις πληροφορίες που επιλέγουν να είναι δημόσια ορατές.
* Η Αδαμαντία Βολικού είναι δικηγόρος με ειδίκευση στο Δίκαιο του Διαδικτύου (Master’s Degree) και στο Αστικό, Αστικό Δικονομικό και Εργατικό Δίκαιο (Μ.Δ.Ε.). Εκπροσωπεί φυσικά και νομικά πρόσωπα σε υποθέσεις που εμπίπτουν στα παραπάνω πεδία ενώ εργάζεται και ως νομική σύμβουλος εταιρειών πάνω σε θέματα προστασίας προσωπικών δεδομένων, πληροφορικής – νέων τεχνολογιών και συμμόρφωσης με τη νομοθεσία. Είναι διαπιστευμένη επαγγελματίας για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων (CIPP/E) από τη διεθνή ένωση IAPP.
Πηγές επιπλέον των υπερσυνδέσμων:
-
- Brett Massimino, Accessing Online Data: Web-Crawling and Information-Scraping. Techniques to Automate the Assembly of Research Data, Journal of Business Logistics, 2016, 37(1): 34–42.
- European Commission, An Introduction to Web Scraping, IT and Legal aspects, ESTP Course on Automated collection of online process: sources, tools and methodological aspects, 2017.
- Vlad Krotov, Leiser Silva, Legality and Ethics of Web Scraping, Twenty-fourth Americas Conference on Information Systems, New Orleans, 2018.
- Adrian Agius, Legal Perspectives on Scraping Data from the Modern Web, https://www.lawinsociety.org/legal-perspectives-on-scraping-data-from-the-modern-web/
- Fiona Campbell, Data Scraping – Considering the privacy issues, 2019, https://privacylawblog.fieldfisher.com/2019/data-scraping-considering-the-privacy-issue
Η Homo Digitalis εκπαιδεύει τους εκπαιδευτικούς στα Χανιά
Στις 14 Φεβρουαρίου η Homo Digitalis βρέθηκε στο Πνευματικό Κέντρο Χανίων, προσκεκλημένη της Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης Χανίων.
Στην ημερίδα που διεξήχθη, η Ελπίδα Βαμβακά και ο Κωνσταντίνος Κακαβούλης μίλησαν το πρωί στους εκπαιδευτικούς για το ψηφιακό αποτύπωμα και τη σημασία του για τη δραστηριότητά μας στο διαδίκτυο.
Εξήγησαν με πρακτικά παραδείγματα πώς οι εκπαιδευτικοί μπορούν να προστατευτούν οι ίδιοι, αλλά και να εκπαιδεύσουν τους μαθητές στη διατήρηση του ελέγχου των προσωπικών τους δεδομένων.
Το απόγευμα μίλησαν σε γονείς και παιδιά για τα ψηφιακά τους δικαιώματα, αναλύοντάς τους τα δικαιώματα στην πρόσβαση και στη λήθη.
Στην ημερίδα συμμετείχαν συνολικά 5 μέλη της Homo Digitalis, καθώς η Ανθή Στρατάκη και ο Δημήτρης Γραμμένος, παρουσίασαν το διαδραστικό εργαστήριο “Ο GDPR και οι 40 κλέφτες”, ενθουσιάζοντας μικρούς και μεγάλους, ενώ την ημερίδα παρακολούθησε και ο Γιώργος Περράκης, δικηγόρος Χανίων και μέλος της Homo Digitalis.
Η Homo Digitalis στο ΣΚΑΙ Κρήτης 92,1
Η Πρόεδρος της Homo Digitalis, Ελπίδα Βαμβακά μίλησε στο ραδιοφωνικό σταθμό ΣΚΑΙ Κρήτης 92,1 για την Προστασία Προσωπικών Δεδομένων στον Ψηφιακό Κόσμο με αφορμή τις εκδηλώσεις που έγιναν την προηγούμενη εβδομάδα στο Ηράκλειο.
Ακούστε τη συντέντευξη κάνοντας κλικ στο σύνδεσμο: https://www.youtube.com/watch?v=9mtDAvFPUy4&feature=youtu.be
Στην συνέντευξη ανακοινώθηκε μεταξύ άλλων και η επόμενη εκδήλωση που θα λάβει χώρα στην Κρήτη και διοργανώνουν οι Διευθύνσεις Δευτεροβάθμιας και Πρωτοβάθμιας Εκπαίδευσης Χανίων σε συνεργασία με το Ίδρυμα Τεχνολογίας και Έρευνας (ΙΤΕ) και την συμμετοχή της Homo Digitalis, την Παρασκευή στις 14 Φεβρουαρίου 2020 με θέμα «Προστασία των προσωπικών δεδομένων και ασφάλεια των μαθητών στο ψηφιακό κόσμο».
Περισσότερα θα ανακοινωθούν τις επόμενες ημέρες.
Η Homo Digitalis στο ΚΡΗΤΗ TV
Η Πρόεδρος της Homo Digitalis, Ελπίδα Βαμβακά και η DPO του ΙΤΕ και μέλος της Homo Digitalis, Ανθή Στρατάκη μίλησαν στην εκπομπή ΚΡΗΤΗ σήμερα στο ΚΡΗΤΗ TV για την Προστασία Προσωπικών Δεδομένων, με αφορμή τις εκδηλώσεις που έγιναν την προηγούμενη εβδομάδα στο Ηράκλειο.
Δείτε τη συντέντευξη κάνοντας κλικ στο σύνδεσμο: https://www.youtube.com/watch?v=2IQhH_rQrJY
Στην συνέντευξη ανακοινώθηκε μεταξύ άλλων και η επόμενη εκδήλωση που θα λάβει χώρα στην Κρήτη και διοργανώνουν οι Διευθύνσεις Δευτεροβάθμιας και Πρωτοβάθμιας Εκπαίδευσης Χανίων σε συνεργασία με το Ίδρυμα Τεχνολογίας και Έρευνας (ΙΤΕ) και την συμμετοχή της Homo Digitalis, την Παρασκευή στις 14 Φεβρουαρίου 2020 με θέμα «Προστασία των προσωπικών δεδομένων και ασφάλεια των μαθητών στο ψηφιακό κόσμο».
Περισσότερα θα ανακοινωθούν τις επόμενες ημέρες.
Η Homo Digitalis ξεκινάει τη συνεργασία της με το Sarantaporo.gr
Η Homo Digitalis και το Sarantaporo.gr, το πιο δραστήριο ασύρματο κοινοτικό δίκτυο πολιτών στην χώρα μας, ανακοινώνουν επίσημα τη συνεργασία τους.
Η κοινή τους δράση έχει σκοπό την προώθηση και την υπεράσπιση των ψηφιακών δικαιωμάτων, με έμφαση στο δικαίωμα πρόσβασης όλων των πολιτών στις σύγχρονες υποδομές δικτύωσης υψηλών ταχυτήτων και το διαδίκτυο.
Ο Στέφανος Βιτωράτος και ο Βασίλης Χρυσσός υπογράφουν το μνημόνιο συνεργασίας για τη Homo Digitalis και το Sarantaporo.gr
Σύμφωνα με πρόσφατη έρευνα της ΕΛΣΤΑΤ, μόνο το 78,5% των Ελλήνων έχουν πρόσβαση στο διαδίκτυο, γεγονός που αποκαλύπτει ότι περισσότεροι από 2,5 εκ. συμπολίτες μας παραμένουν σε ψηφιακό αποκλεισμό.
Αυτό, ως ένα βαθμό, οφείλεται στο γεγονός ότι δεν παρέχεται το ίδιο επίπεδο υπηρεσίας σε όλες τις κοινωνικές ομάδες, είτε επειδή αυτές κατοικούν σε απομακρυσμένες περιοχές με χαμηλή πληθυσμιακή πυκνότητα και άρα χαμηλό επενδυτικό ενδιαφέρον των τηλεπικοινωνιακών εταιρειών, είτε επειδή, αν και κατοικούν σε πόλεις, δεν διαθέτουν τους οικονομικούς πόρους για την απόκτηση μιας ικανοποιητικής σύνδεσης, όπως άλλωστε απαιτεί πλέον η σύγχρονη εποχή με την ψηφιοποίηση πολλών τομέων της καθημερινότητας μας.
Το ασύρματο κοινοτικό δίκτυο Sarantaporo.gr είναι ένα εγχείρημα που δραστηριοποιείται ενάντια σε αυτό τον ιδιότυπο ψηφιακό αποκλεισμό, για τη γεφύρωση του ψηφιακού χάσματος στα ορεινά και απομονωμένα χωριά του Δήμου Ελασσόνας. Με την άμεση συμμετοχή ντόπιων κατοίκων της περιοχής οικοδομεί μια σύγχρονη ασύρματη τηλεπικοινωνιακή υποδομή, η οποία σήμερα εξυπηρετεί 11 χωριά και περίπου 3.500 κατοίκους.
Η συγκεκριμένη πρωτοβουλία βραβεύτηκε πρόσφατα από την Ευρωπαϊκή Επιτροπή με το πρώτο βραβείο στα European Broadband Awards 2019, τον κορυφαίο θεσμό ανάδειξης και βράβευσης σημαντικών πρωτοβουλιών ανάπτυξης της ευρυζωνικότητας σε ευρωπαϊκό επίπεδο.
Οι δύο κορυφαίες στον τομέα τους ελληνικές μη κυβερνητικές οργανώσεις της κοινωνίας πολιτών αποφάσισαν να ενώσουν τις δυνάμεις τους προκειμένου να προτείνουν συγκεκριμένα μέτρα που μπορεί να λάβει η Πολιτεία, ώστε να στηρίξει σε θεσμικό και οικονομικό επίπεδο, καθώς και σε επίπεδο ευαισθητοποίησης των πολιτών, τα κοινοτικά δίκτυα ευρυζωνικότητας στην Ελλάδα, κυρίως σε απομακρυσμένες περιοχές της χώρας που δεν έχουν εναλλακτικό τρόπο πρόσβασης. Αυτή είναι άλλωστε μια κατεύθυνση που προτείνει και η πιο πρόσφατη ειδική έκθεση της ΕΕ για την ευρυζωνικότητα.
Η Homo Digitalis και το Sarantaporo.gr, μέσα από αυτή τη συνεργασία, ευελπιστούν να θέσουν τις βάσεις ώστε να καταπολεμηθεί ο ψηφιακός αποκλεισμός των εν λόγω περιοχών και κοινοτήτων από το διαδίκτυο και τις ψηφιακές υπηρεσίες, αλλά παράλληλα να δοθεί η ευκαιρία στους πολίτες να ενημερωθούν και να εκπαιδευτούν σχετικά με τις σύγχρονες τεχνολογίες δικτύωσης καθώς και την ασφαλή και αποτελεσματική χρήση του διαδικτύου.
Τα μέλη των δύο οργανώσεων κατά την υπογραφή του μνημονίου συνεργασίας
Η Homo Digitalis μοίρασε "δωρεάν" cookies στο Ηράκλειο
Με αφορμή την Ημέρα Προστασίας Προσωπικών Δεδομένων η ομάδα της Homo Digitalis μοίρασε cookies στους περαστικούς στην Πλατεία Ελευθερίας στο Ηράκλειο Κρήτης το απόγευμα της 30 Ιανουαρίου 2020.
Τα cookies μοιράζονταν “δωρεάν” με αντάλλαγμα προσωπικά δεδομένα των περαστικών. Μόλις το 2% δε δέχτηκε να ανταλλάξει προσωπικά δεδομένα του με cookies!
Ο στόχος της συγκεκριμένης δράσης ήταν να εξηγήσει με απλό τρόπο και να ευαισθητοποιήσει το ευρύ κοινό σχετικά με τη χρήση των cookies στο διαδίκτυο.
Η δράση έγινε υπό την αιγίδα της Περιφέρειας Κρήτης, την οποία ευχαριστούμε θερμά.
Μπορείτε να διαβάσετε το σχετικό αφιέρωμα στο cretalive.gr και να δείτε τις σχετικές παρουσιάσεις στο κεντρικό δελτίο ειδήσεων του Κρήτη TV και στην εκπομπή του Creta “Live με την Αντιγόνη”
Ο Στέφανος Βιτωράτος στο zougla.gr για την Ημέρα Προσωπικών Δεδομένων
Ο αντιπρόεδρος της Homo Digitalis, Στέφανος Βιτωράτος, ήταν προσκεκλημένος του Πανεπιστημίου Αθηνών, στις 27 Ιανουαρίου, στο μάθημα «Ηλεκτρονική Διακυβέρνηση και Ψηφιακή Δημόσια Συμμετοχή» του κύκλου μαθημάτων «Συμμετοχική Διακυβέρνηση και Ψηφιακή Κοινωνική και Ανθρωπιστική Καινοτομία» του Προγράμματος Μεταπτυχιακών Σπουδών Ψηφιακά Μέσα Επικοινωνίας και Περιβάλλοντα Αλληλεπίδρασης, όπου ενημέρωσε τους φοιτητές σε μια διαδραστική συζήτηση για ζήτημα.
Στη συνέχεια παραχώρησε συνέντευξη στο δημοσιογράφο Σωτήρη Σκουλούδη και στο φακό του zougla.gr.
“Οφείλουμε να αναπτύξουμε ως πολίτες και ως χρήστες του διαδικτύου την κουλτούρα προστασίας των ψηφιακών μας δικαιωμάτων. Πρόκειται για μια διαρκή διαδικασία ενημέρωσης αλλά και εγρήγορσης”, δήλωσε μεταξύ άλλων ο κ. Βιτωράτος.
Μπορείτε να διαβάσετε ολόκληρη τη συνέντευξη εδώ.
Κατερίνα Δεμέτζου: "Η διεπιστημονικότητα είναι αναγκαία για την κατανοήση των σύγχρονων προκλήσεων"
Η Κατερίνα Δεμέτζου είναι υποψήφια διδάκτωρ στο OO&R (Ερευνητικό Κέντρο Δικαίου & Επιχειρήσεων) και στο iCIS (Ινστιτούτο Επιστημών Πληροφορικής και Συστημάτων Υπολογιστών) του Πανεπιστημίου Radboud, στην Ολλανδία. Είναι απόφοιτος της Νομικής Σχολής Αθηνών και κατέχει μεταπτυχιακό τίτλο σπουδών (LL.M.) στο «Δίκαιο και Τεχνολογία» από το Πανεπιστήμιο Tilburg της Ολλανδίας.
Η Κατερίνα εστιάζει την έρευνά της στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Στο παρελθόν, η Κατερίνα έχει εργαστεί σε δικηγορικά γραφεία στην Ελλάδα, στο Πανεπιστήμιο του Tilburg, στη Philips, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), και στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Μίλησε με τη Homo Digitalis σχετικά με τις προκλήσεις που έχει συναντήσει στην έρευνά της και την ανάγκη υιοθέτησης διεπιστημονικής προσέγγισης για την ορθή κατανόηση της σύγχρονης ψηφιακής πραγματικότητας.
– Έχεις δουλέψει σε Ελλάδα, Ολλανδία, και Βέλγιο για μία εντυπωσιακή πληθώρα φορέων, από πανεπιστήμια, μεγάλες εταιρίες τεχνολογίας, και δικηγορικά γραφεία, έως Θεσμούς της Ευρωπαϊκής Ένωσης, και Ελεγκτικές Αρχές. Πόσο σημαντικές ήταν οι εμπειρίες που αποκόμισες από όλα αυτά τα διαφορετικά εργασιακά περιβάλλοντα για να σχηματίσεις μία ολοκληρωμένη εικόνα ως σύγχρονος επαγγελματίας αναφορικά με τις προκλήσεις και τις ευκαιρίες που ανακύπτουν από τις νέες τεχνολογίες για το Δίκαιο και τη κοινωνία;
Η εργασιακή μου εμπειρία πάνω στο κομμάτι των προσωπικών δεδομένων, παρότι σύντομη σε διάρκεια ήταν ιδιαίτερα εποικοδομητική. Αυτό το λέω με την έννοια ότι κατάφερα να ενημερωθώ πάνω σε διαφορετικές λογικές με τις οποίες μπορεί να προσεγγιστεί το ίδιο και το αυτό ζήτημα.
Όλες οι περιπτώσεις στις οποίες αναφέρεστε στην ερώτησή σας παρουσιάζουν το εξής κοινό χαρακτηριστικό: τo κεντρικό αντικείμενο εργασίας και η βασική κατεύθυνση είναι η προστασία προσωπικών δεδομένων. Ωστόσο, το ενδιαφέρον έγκειται στο ότι το κάθε εργασιακό περιβάλλον έχει διαφορετική αφετηρία και διαφορετικούς στόχους.
Μια εθνική εποπτική αρχή (στην Ελλάδα, η Αρχή Προστασίας Προσωπικών Δεδομένων), η ύπαρξη της οποίας προβλέπεται από τον ίδιο το νόμο, έχει ως βασικό στόχο τον έλεγχο συμμόρφωσης των υπεύθυνων επεξεργασίας με τον ΓΚΠΔ. Ταυτόχρονα εκδίδει κατευθυντήριες οδηγίες με σκοπό την ορθή και την όσο το δυνατόν ομοιόμορφη εφαρμογή του νόμου.
Από την άλλη πλευρά, μια ιδιωτική εταιρεία έχει να αντιμετωπίσει το ζήτημα της συμμόρφωσης με το νόμο με σκοπό την αποφυγή προστίμων αλλά και με σκοπό να κερδίσει την εμπιστοσύνη των πελατών της. Το ζήτημα της συμμόρφωσης είναι ιδιαιτέρως πολύπλοκο και απαιτεί τη λήψη αποτελεσματικών μέτρων τα οποία ταυτόχρονα θα κοστίσουν όσο το δυνατόν λιγότερο στην εταιρεία.
Η εμπειρία μου, τέλος, στον Ευρωπαίο Επόπτη (EDPS) ήταν εξαιρετική, κυρίως λόγω του ότι είδα από κοντά τον τρόπο με τον οποίο γίνονται οι ζυμώσεις σε ευρωπαϊκό επίπεδο και τον τρόπο με τον οποιο λαμβάνονται αποφάσεις και υιοθετούνται πολιτικές.
– Γιατί επέλεξες την οδό των διδακτορικών σπουδών ως συνέχεια της επαγγελματικής σταδιοδρομίας σου;
Οι σπουδές σε επίπεδο διδακτορικού αποτελούσαν για εμένα έναν στόχο, ο οποίος πήρε πιο συγκεκριμένη μορφή κατά τη διάρκεια των μεταπτυχιακών μου σπουδών όταν δούλευα τη διπλωματική μου εργασία.
Η ερευνητική διαδικασία και όλη η διανοητική άσκηση στην οποία συνίσταται με γοήτευσε πολύ. Η έρευνα βασίζεται στους εξής πυλώνες: την αποτύπωση ενός βασικού ερευνητικού ερωτήματος, τη χρήση της μεθοδολογίας, τη μελέτη της βιβλιογραφίας και την εξαγωγή συμπερασμάτων.
Ένα άλλο χαρακτηριστικό της διαδικασίας είναι η συνεχής μετάβαση από το γενικό στο ειδικό (και αντίστροφα) και από τη θεωρία στην πράξη (και αντίστροφα).
Για να δώσω ένα παράδειγμα, η ολοκληρωμένη μελέτη μιας νομικής υποχρέωσης του ΓΚΠΔ, απαιτεί τη μελέτη όχι μόνο του ΓΚΠΔ στο σύνολό του, αλλά και στοιχείων της νομικής επιστήμης εν γένει. Αυτό θα πρέπει να γίνει με ταυτόχρονη διερεύνηση του τι συμβαίνει στην πράξη με βάση και τις δυσκολίες και την αποτελεσματικότητα.
Η διαδικασία λοιπόν που πολύ σύντομα περιέγραψα σε συνδυασμό με το πολύ ενδιαφέρον, σύγχρονο και πολυδιάστατο θέμα της προστασίας προσωπικών δεδομένων είναι οι βασικοί λόγοι για τους οποίους επέλεξα τις διδακτορικές σπουδές.
– Το διδακτορικό σου είναι διεπιστημονικό, καθώς συντονίζεται τόσο από ένα ερευνητικό κέντρο Δικαίου και Επιχειρήσεων αλλά και από ένα Ινστιτούτο Συστημάτων Πληροφορικής και Συστημάτων Υπολογιστών. Πώς είναι να δουλεύεις ως νομικός μαζί με επαγγελματίες από διαφορετικούς επιστημονικούς κλάδους σε κοινά ερευνητικά προγράμματα;
Θα έλεγα πως η διεπιστημονικότητα είναι αναγκαία προϋπόθεση για μια ολοκληρωμένη και σε βάθος κατανόηση κι εκτίμηση των σύγχρονων προκλήσεων.
Το πώς προσεγγίζεις ένα ζήτημα είναι συνάρτηση και των χαρακτηριστικών αυτού του ζητήματος. Για να γίνω πιο συγκεκριμένη, στα ζητήματα δικαίου και τεχνολογίας, το να ερμηνεύσεις μια νομοθετική διάταξη που αφορά στους κινδύνους που προκύπτουν από τη χρήση αλγορίθμων χωρίς να λάβεις υπόψη τη λειτουργία της συγκεκριμένης τεχνολογίας θα οδηγήσει σε μια ερμηνεία κενή.
Αυτό σημαίνει ότι ως νομικός οφείλω να αλληλεπιδρώ και με άλλους τομείς σχετικούς με το αντικείμενο της έρευνάς μου. Κατά τη γνώμη μου πρέπει αρχικά να αφουγκραστούμε την αναγκαιότητα αυτής της αλληλεπίδρασης (το οποίο πιστεύω ότι συμβαίνει) και να εκπαιδευτούμε στην ανάπτυξη εργαλείων για μια τέτοια επικοινωνία.
Σε αυτό το πλαίσιο προσπαθώ να τοποθετήσω τη διδακτορική μου έρευνα. Η συνύπαρξη και η συνεργασία με ανθρώπους κυρίως από τον τομέα της πληροφορικής είναι μόνο ευχάριστη και προσφέρει διαφορετική οπτική και τρόπο σκέψης (και ενίοτε μεθοδολογίας) σε μια έρευνα που άλλως θα ήταν αμιγώς νομική.
Ο στόχος δεν είναι να λειτουργήσει ο ερευνητής συγκεντρωτικά ως προς τη γνώση (να γίνει δηλαδή ταυτόχρονα νομικός, κοινωνιολόγος, προγραμματιστής κλπ) αλλά πρώτον να μπορεί να διαγνώσει ποιες είναι οι επιστήμες τις οποίες οφείλει να εξετάσει για μια πιο ολοκληρωμένη έρευνα και δεύτερον να μπορεί να επικοινωνήσει με τους ειδικούς των λοιπών σχετικών επιστημών και να κατανοήσει τις σημαντικές για την έρευνά του πληροφορίες.
– Οι διδακτορικές σου σπουδές επικεντρώνονται στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Μίλησε μας περισσότερο για το ζήτημα αυτό και για τις προκλήσεις που έχεις συναντήσει έως σήμερα.
Όντως, η έρευνά μου αφορά σε μία νέα νομική υποχρέωση υπό τον ΓΚΠΔ και σε μια συστατική, αυτής της υποχρέωσης, έννοια (‘υψηλός κίνδυνος’) εν πολλοίς αχαρτογράφητη στον τομέα της προστασίας προσωπικών δεδομένων.
Η έννοια του ΄κινδύνου΄ συναντάται σε πολλές υποχρεώσεις του ΓΚΠΔ και αποτελεί ένα από τα βασικά κριτήρια για τη διαμόρφωση της πολιτικής μιας εταιρείας σε σχέση με την προστασία των δεδομένων που επεξεργάζεται.
Με απλά λόγια, όσο μεγαλύτερος ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τόσο περισσότερες και πολυπλοκότερες οι υποχρεώσεις των υπεύθυνων επεξεργασίας.
Αυτό προϋποθέτει την ύπαρξη εργαλείων για να εντοπιστεί και να μετρηθεί ο κίνδυνος. Ένα βασικό στοιχείο το οποίo θα πρέπει να είναι ξεκάθαρο όταν μιλάμε για τον ‘κίνδυνο’ υπό τον ΓΚΠΔ, είναι ότι ο νομοθέτης δεν αναφέρεται αποκλειστικά και μόνο σε κινδύνους που αφορούν στην ασφάλεια των συστημάτων (security risks) αλλά αναφέρεται επιπλέον σε κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (risks to the rights and freedoms of natural persons).
Έτσι λοιπόν, το να εντοπίσει και να μετρήσει ένας υπεύθυνος επεξεργασίας τον κίνδυνο επίθεσης στα ηλεκτρονικά του συστήματα και το να λάβει μέτρα προκειμένου να μειώσει όσο το δυνατόν περισσότερο την πιθανότητα παραβίασης και υποκλοπής δεδομένων, είναι υψίστης σημασίας, όμως δεν αρκεί.
Οφείλει επιπλέον να εντοπίσει κινδύνους που μπορεί να παρουσιαστούν στα θεμελιώδη δικαιώματα των ανθρώπων, όπως για παράδειγμα στο δικαίωμα στην ελευθερία της έκφρασης, της σκέψης κλπ.
Κι ενώ είμαστε αρκετά εξοικειωμένοι με τους κινδύνους που παρουσιάζονται στο επίπεδο ασφάλειας συστημάτων (ποιοί είναι, πώς μετριούνται, πώς αντιμετωπίζονται), δεν ισχύει το ίδιο με τους κινδύνους στα θεμελιώδη δικαιώματα λόγω της επεξεργασίας προσωπικών δεδομένων.
Βασικά ερωτήματα που εγείρονται είναι: με ποια μέθοδο εντοπίζουμε σε κάθε συγκεκριμένη περίπτωση ποια δικαιώματα και ποιες ελευθερίες μπορεί να τεθούν σε κίνδυνο λόγω της επεξεργασίας δεδομένων;
Είναι ο κίνδυνος μετρήσιμος κι αν ναι, ποια είναι τα εργαλεία εκείνα τα οποία θα εξασφαλίσουν μια (όσο το δυνατόν πιο) αντικειμενική μέτρηση του εν λόγω κινδύνου;
Ποιο είναι το σημείο εκείνο (και ποιος το καθορίζει) πέρα από το οποίο ένας κίνδυνος παύει να είναι νομικά αποδεκτός;
Αυτά είναι ορισμένα μόνο ερωτήματα τα οποία πρέπει να απαντηθούν πριν μιλήσουμε για τα μέτρα που χρειάζεται να ληφθούν για τη μείωση του ‘κινδύνου’. Η ερευνητική πρόκληση εν προκειμένω, βρίσκεται στη δημιουργία μιας νομικής μεθοδολογίας η οποία θα επιτρέπει τόσο τη μέτρηση του κινδύνου στα δικαιώματά μας όσο και στην αξιολόγηση της ορθότητας αυτής της μέτρησης.
Θα πρέπει δηλαδή να υπάρχει κοινό λεξιλόγιο, κοινά εργαλεία και κοινή αντίληψη απέναντι στην έννοια του ‘κινδύνου’. Αυτό ταυτόχρονα συμβάλλει στη βασική αρχή της νομικής βεβαιότητας αλλά και στην πιο αποτελεσματική προστασία των δικαιωμάτων και των ελευθεριών μας.
– Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων είναι άρρηκτα συνδεδεμένη με τη προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Θεωρείς ότι οι υπεύθυνοι επεξεργασίας δείχνουν τη δέουσα προσοχή στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων; Έχουν οι αρμόδιες ελεγκτικές αρχές προχωρήσει στην παροχή επαρκούς καθοδήγησης;
Είναι αρκετά δύσκολο να εκφέρω μια εμπεριστατωμένη άποψη σχετικά με τη στάση των υπεύθυνων επεξεργασίας απέναντι στη συγκεκριμένη νομική υποχρέωση.
Η αίσθηση που έχω μέχρι τώρα είναι πως, με εξαίρεση μεγάλες πολυεθνικές εταιρείες οι οποίες έχουν αναπτύξει ακόμα και αυτοματοποιημένα εργαλεία για την εκτίμηση αντικτύπου, εξακολουθεί να υπάρχει μια δυσκολία κατανόησης του τρόπου εφαρμογής αυτής της υποχρέωσης, κυρίως ως προς τη μεθοδολογία που πρέπει να χρησιμοποιηθεί.
Ωστόσο, τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) όσο και οι εθνικές εποπτικές Αρχές, έχουν σταδιακά παράσχει κατευθυντήριες οδηγίες ως προς τους τύπους της επεξεργασίας δεδομένων που ‘ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων’ καθώς και ως προς τα κριτήρια που πρέπει να λαμβάνονται υπόψη για μια τέτοια αξιολόγηση.
Παραδείγματα τύπων επεξεργασίας είναι η μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων, η επεξεργασία δεδομένων με τη χρήση νέων τεχνολογιών, ενώ κριτήρια αποτελούν η συστηματική παρακολούθηση, η επεξεργασία δεδομένων των εργαζομένων και των ανηλίκων κλπ.
Οι προαναφερθέντες τύποι επεξεργασίας και όσοι παρουσιάζουν κριτήρια με βάση τις οδηγίες των Αρχών πρέπει να υπόκεινται σε εκτίμηση αντικτύπου.
Οι οδηγίες αυτές είναι όντως σε μεγάλο βαθμό βοηθητικές. Ωστόσο, προσωπικά θεωρώ ότι χρειάζονται επιπλέον οδηγίες σχετικά με τον τρόπο που οι υπεύθυνοι επεξεργασίας οφείλουν να μετρούν το αν η πιθανότητα ή / και η ένταση του κινδύνου είναι υψηλή / μεσαία / χαμηλή.
Οδηγίες τέτοιου περιεχομένου θα ικανοποιούσαν και το αίτημα του νομοθέτη για ‘αντικειμενική’ αξιολόγηση του κινδύνου.
Για παράδειγμα, ένας υπεύθυνος επεξεργασίας λανθασμένα (όπως κρίνεται εκ του αποτελέσματος) αποφάσισε να μην πραγματοποιήσει εκτίμηση αντικτύπου μιας επεξεργασίας.
Καλείται να εξηγήσει είτε ενώπιον της Αρχής είτε ενώπιον του Δικαστηρίου τον τρόπο (μέθοδο) με τον οποίο κατέληξε στο συμπέρασμα ότι ο κίνδυνος δεν ήταν ‘υψηλός’ και άρα δεν ενέπιπτε στην υποχρέωση εκτίμησης αντικτύπου.
Η έλλειψη κοινού τόπου μεταξύ του υπεύθυνου επεξεργασίας και της Αρχής ή του Δικαστηρίου, ως προς τη μέθοδο αξιολόγησης κινδύνου, μπορεί να οδηγήσει σε υψηλά πρόστιμα για τον υπεύθυνο επεξεργασίας. Το μικρό αυτό παράδειγμα φανερώνει το πρόβλημα που μπορεί να προκύψει από την έλλειψη κατευθυντήριων οδηγιών ως προς τη μέτρηση ‘κινδύνου’.
– Οι καθηγητές που επιβλέπουν τη διδακτορική σου έρευνα, ήτοι Mireille Hildebrandt, Βart Jacobs και Corjo Jansen, είναι πολύ γνωστές προσωπικότητες στον τομέα με μεγάλη ακαδημαϊκή συνεισφορά. Πώς είναι να δουλεύεις δίπλα τους και να μαθαίνεις από αυτούς;
Οι επιβλέποντες καθηγητές μου αποτελούν έναν από τους πιο σημαντικούς λόγους για τον οποίο επέλεξα να προχωρήσω στις συγκεκριμένες διδακτορικές σπουδές.
Είναι τρεις επιστήμονες καταξιωμένοι στον τομέα τους, με πολύ μεγάλη εμπειρία στην επίβλεψη διδακτορικών διατριβών. Με αφορμή αυτή την ερώτηση, θα ήθελα να τονίσω το εξής.
Οι επιβλέποντες καθηγητές είναι ίσως το πιο σημαντικό κριτήριο για να επιλέξει ένας νέος επιστήμονας το δρόμο του διδακτορικού.
Κατά τη γνώμη μου, είναι κριτήριο πιο σημαντικό ακόμα και από το ίδιο το θέμα της διατριβής για το λόγο ότι ο επιβλέπων καθηγητής είναι εκείνος ο οποίος θα σε καθοδηγήσει στην (δύσκολη και περίπλοκη) ερευνητική διαδικασία.
Θα πρέπει λοιπόν να είναι άνθρωπος με τον οποίο μπορείς να συνεννοηθείς, να μπορείς να εκφράσεις τον οποιοδήποτε προβληματισμό σου και στον οποίο μπορείς να στηριχθείς και να νιώσεις ασφαλής. Είναι το προστατευτικό σου δίχτυ με λίγα λόγια. Από αυτή την άποψη, λοιπόν, αισθάνομαι κάτι παραπάνω από τυχερή.
– Έχεις συμμετάσχει σε πληθώρα συνεδρίων για να παρουσιάσεις την ακαδημαϊκή σου έρευνα, όπως το «Computers, Privacy, and Data Protection (CPDP)» στις Βρυξέλλες, το «British & Irish Law, Education and Technology Conference (BILETA)» στο Μπέλφαστ, και το «Living in the Internet of Things: Cybersecurity of the ΙοΤ» στο Λονδίνο. Πόσο σημαντικό είναι για τους ακαδημαϊκούς ερευνητές να συμμετέχουν από κοινού με ειδικούς που εκπροσωπούν άλλους τομείς όπως τις οργανώσεις της κοινωνίας των πολιτών, σε τέτοια συνέδρια;
Η συμμετοχή σε συνέδρια είναι κατά τη γνώμη μου μια δραστηριότητα μεγάλης σημασίας για έναν ερευνητή. Ο βασικός λόγος είναι διότι προσδίδει εξωστρέφεια στην έρευνά του και ταυτόχρονα τον τοποθετεί ως ισάξιο μέλος μιας κοινότητας.
Η προσωπική μου εμπειρία δείχνει πως αυτού του είδους η συμμετοχή είναι πολλαπλώς ευεργετική. Αρχικά διότι καλείσαι να παρουσιάσεις με απλό και κατανοητό τρόπο τόσο την έρευνά σου όσο και τη σημασία αυτής.
Κατά δεύτερον διότι σου δίνεται η δυνατότητα να λάβεις σχόλια, ερωτήσεις, κριτική και με αυτό τον τρόπο να βελτιώσεις ή ακόμα και να αναθεωρήσεις συμπεράσματα.
Έτσι λοιπόν, ο επιστήμονας καταφέρνει να βγει έξω από τα όρια της ακαδημαϊκής κοινότητας και να μπολιάσει τον τρόπο σκέψης και έρευνας με στοιχεία και απόψεις ανθρώπων που ανήκουν σε παρεμφερή ή ακόμα και σε διαφορετικά ερευνητικά πεδία.
Πιστεύω πως με αυτό τον τρόπο απαντάω και στην ερώτησή σας. Η επικοινωνία και η συνεργασία μελών της ακαδημαϊκής κοινότητας με εκπροσώπους άλλων φορέων συμβάλλει σε μια ολιστική προσέγγιση ενός θέματος και αποσοβεί τον κίνδυνο της μονομέρειας στην έρευνα (ο οποίος ορισμένες φορές ελλοχεύει).
Αυτό έχει γίνει αντιληπτό και από τους διοργανωτές μεγάλων συνεδρίων, οι οποίοι προσπαθούν να προσδώσουν διεπιστημονικότητα στα συνέδρια, κυρίως του τομέα δικαίου και τεχνολογίας.
Παραδείγματα συνεδρίων που έχουν υιοθετήσει αυτή τη λογική, είναι όσα αναφέρετε στην ερώτησή σας. Ένα πρόσφατο παράδειγμα αποτελεί το διεθνούς απήχησης συνέδριο ACM FAT Conference, το οποίο μόλις πραγματοποιήθηκε στη Βαρκελώνη τον Ιανουάριο του 2020.
Στην περίπτωση αυτή οι διοργανωτές έκαναν μια σημαντική στροφή στο περιεχόμενο του συνεδρίου, απευθύνοντας κάλεσμα σε νομικούς, κοινωνιολόγους, και ανθρώπους άλλων ειδικοτήτων να συμμετάσχουν και να προσδώσουν διεπιστημονικότητα στο εν λόγω συνέδριο.