master_admin

Στις 4 Νοεμβρίου, η  Homo Digitalis συμμετείχε στην Συνάντηση φορέων που οργάνωσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board – EDPB) στις Βρυξέλλες. Η συνάντηση αφορούσε τα δικαιώματα των υποκειμένων των δεδομένων όπως ανακύπτουν από τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και συγκέντρωσε πλήθος φορέων από τον ιδιωτικό και το δημόσιο τομέα.

Σκοπός της συνάντησης ήταν η αναζήτηση των προκλήσεων που ανακύπτουν από την πρακτική εφαρμογή των διατάξεων του GDPR που αφορούν το Δικαιώματα: Πρόσβασης, Διόρθωσης, Διαγραφής, Περιορισμού της Επεξεργασίας, και Εναντίωσης.

Η συζήτηση ήταν ιδιαιτέρως έντονη καθώς μεγάλες εταιρίες εκπροσωπόντας τα οικονονικά τους συμφέροντα, αναζητούσαν τρόπους για να αποδυναμώσουν τις διατάξεις του GDPR και να περιορίσουν τα δικαιώματα των χρηστών των ίδιων τους των υπηρεσιών. Ωστόσο το πλήθος των οργανώσεων της κοινωνίας των πολιτών που βρίσκονταν στη συγκέντρωση επικέντρωσαν το ενδιαφέρον τους στην προάσπιση των δικαιωμάτων των υποκειμένων και την κατά γράμμα τήρηση των διατάξεων του GDPR.

O Λευτέρης Χελιουδάκης εκπροσώπησε τη Homo Digitalis στην εκδήλωση αυτή, ενώ συμμετείχαν επίσης πολλές άλλες αναγνωρισμένες οργανώσεις όπως η Access Now, η NOYB – European Center for Digital Rights, και η Privacy International η οποία μάλιστα ενίσχυσε τον ελληνικό χαρακτήρα της εκδήλωσης αφού εκπροσωπήθηκε από το νομικό της ομάδας της, Ιωάννη Κούβακα.

Στις 8-11 Νοεμβρίου διοργανώθηκε στις Βρυξέλλες το Freedom Not Fear 2019, το ετήσιο συνέδριο των ευρωπαϊκών οργανώσεων ψηφιακών δικαιωμάτων.

Είμαστε πολύ χαρούμενοι καθώς η οργάνωση μας εκπροσωπήθηκε από 7 μέλη της στο συνέδριο: Το Λευτέρη Χελιουδάκη, τον Κωνσταντίνο Κακαβούλη, την Αναστασία Καραγιάννη, τη Μαριλίζα Μπάκα, την Αιμιλία Γιβροπούλου, το Γιάννη Κωνσταντινίδη και το Νίκο Ιωαννίδη.

Μάλιστα, η Homo Digitalis είχε τη χαρά να διοργανώσει workshop σχετικά με την κατάσταση στην οποία βρίσκονται τα ψηφιακά δικαιώματα στην Ελλάδα και αναφορικά με το κέντρο ελέγχου περιεχομένου της Facebook, το οποίο λειτουργεί στην Αθήνα, όπως αποκαλύφθηκε πρόσφατα.

Επίσης, η Αιμιλία Γιβροπούλου είχε τη χαρά να συνομιλήσει με το Γερμανό Ευρωβουλευτή Patrick Brayer σχετικά με την ευρωπαϊκή νομοθεσία και πρακτική για τρομοκρατικό περιεχόμενο.

Τέλος, τα μέλη της Homo Digitalis επισκέφθηκαν το Ευρωπαϊκό Κοινοβούλιο και συνομίλησαν με Ευρωβουλευτές για τη ρύθμιση των δικαιωμάτων του ανθρώπου στη σύγχρονη ψηφιακή εποχή.

Η Homo Digitalis υπήρξε υποστηρικτής του Freedom Not Fear 2019.

Ανανεώνουμε το ραντεβού μας για του χρόνου!

Στις 5 Νοεμβρίου η Homo Digitalis ήταν προσκεκλημένη του Συλλόγου Γονέων και Κηδεμόνων του Μουσικού Σχολείου Λάρισας.

Ο Κωνσταντίνος Κακαβούλης, η Αναστασία Καραγιάννη και ο Αναστάσιος Αραμπατζής μίλησαν στους γονείς και στους μαθητές του Γυμνασίου και του Λυκείου για το cyberbullying και το ψηφιακό αποτύπωμα.

Συνομιλητής της Homo Digitalis στην εκδήλωση ήταν ο κ. Δημήτρης Λιόβας, Υπεύθυνος Πληροφορικής και Νέων Τεχνολογιών Δευτεροβάθμιας Εκπαίδευσης Λάρισας.

Ευχαριστούμε θερμά το Σύλλογο Γονέων και Κηδεμόνων για την πρόσκληση και την εξαιρετική διοργάνωση της εκδήλωσης. Ευχαριστούμε ιδιαίτερα τον Πρόεδρο του Συλλόγου, κ. Αντώνη Σωτηρίου.

Αυτή ήταν η πρώτη δράση της Homo Digitalis σε σχολεία εκτός Αθήνας. Μείνετε συντονισμένοι, καθώς θα ακολουθήσουν πολλές ακόμα!

Γράφει η Αναστασία Καραγιάννη

Η αλήθεια είναι ότι, λίγο πολύ, στις μέρες μας είμαστε ενημερωμένοι για την άμεση συλλογή και επεξεργασία των δεδομένων των παιδιών. Ωστόσο, είναι εξίσου αλήθεια ότι γνωρίζουμε πολύ λίγα πράγματα για άλλες μεθόδους έμμεσης συλλογής και επεξεργασίας των δεδομένων των παιδιών, κυρίως στις πλατφόρμες κοινωνικής δικτύωσης.

Τα προσωπικά δεδομένα των ανηλίκων βρίσκονται ακόμα και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων

Δεδομένου ότι πολλά παιδιά ηλικίας 13 έως 16 ετών χρησιμοποιούν αυτές τις πλατφόρμες, τα δεδομένα τους είναι αυτονόητο ότι συλλέγονται και αποθηκεύονται. Όμως, τα δεδομένα αυτά βρίσκονται και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων. Με αυτό τον τρόπο, τα δεδομένα των παιδιών ενσωματώνονται στα δεδομένα των ενηλίκων-γονέων στα πλαίσια των ‘οικογενειακών δεδομένων’.

Τον Νοέμβριο του 2018, το Facebook κατέθεσε δίπλωμα ευρεσιτεχνίας για τις προβλέψεις δημογραφικών στοιχείων, οι οποίες βασίστηκαν σε δεδομένα εικόνας. Αυτή η ‘πατέντα’ βασίζεται στην αναγνώριση προσώπου και επιτρέπει στο Facebook να κατηγοριοποιεί φωτογραφίες που δημοσιεύονται από το χρήστη και φωτογραφίες που έχουν αναρτηθεί από άλλους χρήστες οι οποίοι είναι ‘κοινωνικά συνδεδεμένοι’ μαζί του, καθώς και με άλλα είδη κειμένου, όπως οι λεζάντες που περιέχουν περισσότερες πληροφορίες σχετικά με το χρήστη και την οικογένειά του.

Παρόλο που οι πλατφόρμες των μέσων κοινωνικής δικτύωσης προσπαθούν να συμμορφωθούν με τον GDPR στις Πολιτικές Απορρήτου, στοχεύουν στα παιδιά ή συλλέγουν πληροφορίες από τα προφίλ της οικογένειας μέσω της εξαγωγής δεδομένων.

Δεν είναι τυχαίο, άλλωστε, που υπάρχουν επίσης οι περιπτώσεις των ‘moms influencers’ που μοιράζονται πληροφορίες όχι μόνο για τη δική τους ζωή, αλλά και των παιδιών τους, έχοντας ως σκοπό την προώθηση προϊόντων με διαφημίσεις, άρα το κέρδος, ή καθιστώντας τα παιδιά τους influencers στα κοινωνικά μέσα.

Ωστόσο, το ερώτημα είναι το εξής:

Τα δεδομένα στην εικόνα ανήκουν στα παιδιά και τι συμβαίνει όταν τα δικαιώματα που απορρέουν ασκούνται από τρίτους, όπως οι γονείς και οι έχοντες την γονική επιμέλεια; Αυτά τα δεδομένα σε ποιον ανήκουν; Και η ‘ιδιοκτησία των δεδομένων’ μπορεί να θεωρηθεί δικαίωμα ιδιοκτησίας;

Ιστορικά, τα παιδιά είναι υπό την ευθύνη των γονέων τους. Αυτή η θεμελιώδης αρχή παραμένει, αν και η ευαισθησία μας και η γλώσσα που χρησιμοποιούμε για να περιγράψουμε τη γονική σχέση έχει αλλάξει. Ο Ali Watson υποστηρίζει ότι παρά τις αλλαγές στην τεχνολογία, την κοινωνία και τον τρόπο με τον οποίο αντιλαμβανόμαστε την ανάπτυξη των παιδιών «η φύση των ίδιων των παιδιών έχει αλλάξει πολύ λίγο». Παρόλο που υπάρχει εκτενής βιβλιογραφία σχετικά με τις πρακτικές κληρονομιάς, οι πηγές που απευθύνονται άμεσα στα δικαιώματα ιδιοκτησίας των παιδιών είναι ελάχιστες.

Η απουσία νομικής ρύθμισης σχετικά με τα δικαιώματα ιδιοκτησίας των παιδιών οφείλεται στο γεγονός ότι τα παιδιά δεν έχουν πλήρη νομική προσωπικότητα, λόγω ηλικίας, ανωριμότητας και ευαλωτότητας, κάτι που τους απαγορεύει να ελέγχουν τα δικά τους συμφέροντα.

Ωστόσο, στο άρθρο 21 του Ν. 4624/2019 (άρθρο 6 και 8 του GDPR) για την προστασία των προσωπικών δεδομένων προβλέπεται το 15ο έτος ως όριο ηλικίας, όπου το παιδί μπορεί να δώσει την συναίνεσή του για την επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών. Μ’ αυτόν τον τρόπο, ο νομοθέτης αναγνωρίζει ότι ένα παιδί-έφηβος/η στο 15ο έτος της ηλικίας του διαθέτει την στοιχειώδη ωριμότητα, ώστε να αντιληφθεί πιθανούς κινδύνους, να αντισταθμίσει τα οφέλη και να πάρει συνειδητά μία απόφαση.

Η Σύμβαση του ΟΗΕ για τα Δικαιώματα του Παιδιού εγγυάται στα παιδιά το δικαίωμα σε όνομα, εκπαίδευση, πολιτισμό, θρησκευτική ελευθερία, ενώ ενθαρρύνει τη δημοσίευση παιδικών βιβλίων. Ωστόσο, δεν αναφέρεται ρητά στα δικαιώματα ιδιοκτησίας των παιδιών. Πράγματι, αναφέρεται μόνο στην ιδιοκτησία, στο μέτρο που τα παιδιά δεν πρέπει να υφίστανται διακρίσεις εξαιτίας της ιδιοκτησίας τους ή της έλλειψης κυριότητας ιδιοκτησίας. Η  υπογραφή της Σύμβασης του ΟΗΕ για τα Δικαιώματα του Παιδιού αποτέλεσε κρίσιμη στιγμή για την αναγνώριση των δικαιωμάτων του παιδιού σε ένα νομικό κείμενο και για την καθιέρωση ενός σημαντικού κριτηρίου στο άρθρο 3 ότι «το πρωταρχικό μέλημα πρέπει να είναι το βέλτιστο συμφέρον του παιδιού». 

Η πρώτη σημαντική διεθνής σύμβαση για την αναγνώριση των δικαιωμάτων ιδιοκτησίας του παιδιού είναι η Σύμβαση της Χάγης του 1996 για τη γονική μέριμνα και την προστασία των παιδιών. Ειδικότερα, στο άρθρο 1, η Σύμβαση καλεί τα κράτη να «προστατεύσουν το πρόσωπο ή την περιουσία του παιδιού». Η συχνή χρήση της φράσης «πρόσωπο ή ιδιοκτησία του παιδιού» δηλώνει την αναγνώριση των σημερινών και μελλοντικών δικαιωμάτων ιδιοκτησίας του παιδιού.

Ωστόσο, πριν εξεταστεί ο ρόλος των γονέων σε αυτή την περίπτωση, θα πρέπει να διευκρινίσουμε την έννοια της ιδιοκτησίας των δεδομένων και της σχέσης της με τα δικαιώματα ιδιοκτησίας. Σύμφωνα με την Valentina Pavel, η κυριότητα είναι το αποκλειστικό δικαίωμα χρήσης, κατοχής και διάθεσης της περιουσίας. Πολλοί άνθρωποι αναπτύσσουν συναισθηματικά επιχειρήματα σχετικά με την ιδιοκτησία των δεδομένων, οπότε ένας νομικός ορισμός της ιδιοκτησίας είναι αναγκαίος, όπως και η σημασία που δίνεται από τις επιχειρήσεις.

Σύμφωνα με την Sylvie Delacroix, η διαρροή των δεδομένων μας καθιστά ευάλωτους. Η συνεχής, διαισθητική σχέση ιδιοκτησίας με τον έλεγχο φαίνεται να βασίζεται σε ένα πολύ συγκεκριμένο ιδεώδες ιδιοκτησίας, το οποίο αντικατοπτρίζεται στο ρητό, «το σπίτι κάποιου είναι το κάστρο του».

Η Sylvie Delacroix υποστηρίζει ότι η προσπάθεια του GDPR να περιορίσει την ελευθερία των συμβάσεων δεν αρκεί από μόνη της, ώστε να αντιστρέψει την ασυμμετρία εξουσίας μεταξύ αυτών που ελέγχουν τα δεδομένα και των υποκειμένων των δεδομένων. Η λύση σύμφωνα με την Sylvie Delacroix είναι η εμπιστοσύνη των δεδομένων, ένας μηχανισμός με τον οποίο τα υποκείμενα δεδομένων επιλέγουν να συγκεντρώσουν τα δεδομένα τους εντός του νομικού πλαισίου της εμπιστευτικότητας.

Τα δικαιώματα των γονέων στην ελευθερία της έκφρασης και της γονικής επιμέλειας μπορεί να έρθουν σε σύγκρουση, όπως και με το δικαίωμα στην ιδιωτικότητα των παιδιών

Όταν οι γονείς μοιράζονται πληροφορίες σχετικά με τα παιδιά τους στο διαδίκτυο, τις περισσότερες φορές το κάνουν χωρίς τη συγκατάθεση των παιδιών τους. Οι γονείς παίζουν τόσο τον ρόλο του ‘φύλακα’ και ‘προστάτη’ των προσωπικών δεδομένων των παιδιών τους όσο και του ‘αφηγητή’ των προσωπικών ιστοριών τους.

Αυτός ο διπλός ρόλος των γονέων συμβάλλει σημαντικά στην διαμόρφωση της ηλεκτρονικής ταυτότητας των παιδιών, ενώ τους παρέχει ελάχιστη προστασία. Προκαλείται μια σύγκρουση συμφερόντων, καθώς τα παιδιά μπορεί κάποια μέρα να αντιδράσουν στις δημοσιεύσεις που έκαναν πριν χρόνια οι γονείς τους και να  συνειδητοποιήσουν ότι δεν μπορούν να ελέγξουν πλέον το ψηφιακό τους αποτύπωμα. 

Πράγματι, τα πρωτοβάθμια Δικαστήρια στην Αυστρία κλήθηκαν να αντιμετωπίσουν την υπόθεση μιας δεκαοχτάχρονης κοπέλας, η οποία μήνυσε τους γονείς της, επειδή μοιράστηκαν 500 φωτογραφίες της με τους 700 διαδικτυακούς τους φίλους στο Facebook. Η κοπέλα συγκεκριμένα αναφέρει πως οι γονείς την δεν έβαλαν όρια και δεν σκέφτηκαν ότι μπορεί να αισθάνεται η ίδια αργότερα ντροπή για αυτές τις φωτογραφίες, αφού σε κάποιες απεικονίζεται ακόμα και γυμνή στην μπανιέρα. Για αυτό το λόγο, ζήτησε από το Δικαστήριο να αποσυρθούν αυτές οι φωτογραφίες και η ίδια να αποζημιωθεί οικονομικά.

Όταν οι γονείς δημοσιεύουν φωτογραφίες των παιδιών τους από την καθημερινότητά τους, μπορούν να εγγυηθούν ότι τα παιδιά τους δεν θα δυσαρεστηθούν από αυτές τις φωτογραφίες ή δε θα ζητήσουν να αφαιρεθούν αυτές οι φωτογραφίες;

Μόλις ‘ανέβει’ μία φωτογραφία στο διαδίκτυο, δεν μπορεί να εξαφανιστεί εύκολα. Το γεγονός ότι τα περισσότερα από τα παιδιά δεν μπορούν να εκφράσουν την γνώμη τους σε μικρή ηλικία, γιατί δεν αντιλαμβάνονται τι συμβαίνει, δεν σημαίνει ότι οι γονείς δεν πρέπει να ρωτήσουν την γνώμη τους, να τους εξηγήσουν για ποιο λόγο θέλουν αν μοιραστούν μία φωτογραφία τους και πως λειτουργεί ο ψηφιακός χώρος. 

Μια έρευνα ανέφερε ότι οι περισσότεροι γονείς κατά 89% δραστηριοποιούνται καθημερινά στο διαδίκτυο, ενώ μόλις το 11% δήλωσε ότι ανησυχούν σχετικά με την προστασία της ιδιωτικής τους ζωής και προσπαθούν να περιορίσουν τη χρήση του διαδικτύου.

Οι ‘Insta-Moms’, οι μητέρες που δημοσιεύουν συχνά τις φωτογραφίες των παιδιών τους στο Instagram, και οι ‘Moms-influencers’ συχνά επικρίνονται επειδή χρησιμοποιούν τις εικόνες των παιδιών τους με επικερδή τρόπο. Η έρευνα αυτή ανέφερε επίσης ότι μόνο το 14% των γονέων με παιδιά ηλικίας 9-12 ετών,  και το 48% των γονέων με παιδιά ηλικίας 13-17 ετών, έκριναν ότι το παιδί τους ήταν αρκετά ώριμο, ώστε να έχει αυτοτελές δικαίωμα στην ιδιωτικότητα στον ψηφιακό χώρο.

Το ‘Sharenting’ (από το parenting που σημαίνει γονική μέριμνα και το share που σημαίνει μοιράζομαι)  είναι η συνεχής συμπεριφορά των γονέων να μοιράζονται τα δεδομένα των παιδιών τους σαν να είναι δικά τους δεδομένα, στα πλαίσια της ιδιοκτησίας και της γονικής επιμέλειας. Η χρησιμοποίηση των φωτογραφιών των παιδιών με σκοπό το κέρδος, τις διαφημίσεις και τις χορηγίες είναι εντελώς διαφορετικό από την απλή λήψη φωτογραφιών.

Προωθώντας διάφορα προϊόντα, από παιχνίδια μέχρι ρούχα υψηλής ραπτικής, αυτά τα παιδιά μπορούν να κερδίσουν πολλά χρήματα για μία φωτογραφία. Χωρίς να μπορούν να υπογράψουν κάποια σύμβαση, τα κέρδη απλώς καταλήγουν στα χέρια των γονέων, δημιουργώντας δεοντολογικά και πρακτικά προβλήματα. Κάποιοι γονείς μπορεί να δημιουργούν λογαριασμούς ταμιευτηρίου ή να προσθέτουν τα κέρδη σε ένα κοινό ταμείο με τα παιδιά τους, ώστε να τα χρησιμοποιήσουν μόλις ενηλικιωθεί, αλλά τις περισσότερες φορές οι γονείς χρησιμοποιούν αυτά τα χρήματα πολύ πριν από την ενηλικίωση των παιδιών.

Ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον αλλά και πώς μπορούν να επωφεληθούν από τον σύγχρονο ψηφιακό κόσμο

Συνοψίζοντας, οι εταιρείες και οι γονείς πρέπει να συνεργάζονται και να ακολουθούν μία κοινή πολιτική και πρακτική που τους επιτρέπει να μην παραβιάζουν τα δικαιώματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων των παιδιών. Οι γονείς πρέπει να είναι πιο επιλεκτικοί με τις εταιρείες που επιλέγουν να συνεργαστούν, καθώς και να διασφαλίζουν διαρκώς ότι έχουν λάβει την ενημερωμένη συγκατάθεση του παιδιού πριν από την πραγματοποίηση οποιωνδήποτε δημοσιεύσεων.

Δεδομένου ότι το ψηφιακό περιβάλλον είναι πραγματικά ευρύ και ρευστό, ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον, και πώς μπορούν να επωφεληθούν από τον ψηφιακό κόσμο, όχι μόνο με λόγια, αλλά και με το να αποτελούν το παράδειγμα με τις πράξεις τους.

Στις 29 Οκτωβρίου 2019, ο οργανισμός Electronic Privacy Information Center (EPIC) κατέθεσε τις προτάσεις του στο Κογκρέσο των ΗΠΑ αναφορικά με το Σύμφωνο που υπέγραψαν Η.Π.Α. και Ηνωμένο Βασίλειο στο πλαίσιο της ομοσπονδιακής νομοθεσίας «US Clarifying Lawful Overseas Use of Data Act» (US CLOUD Act).

Το Σύμφωνο («U.S.-U.K. CLOUD Act Executive Agreement») υπογράφτηκε στις 3 Οκτωβρίου και αποτελεί μια πολιτικά δεσμευτική συμφωνία χωρίς νομική ισχύ. Με τις προτάσεις του, ο EPIC τονίζει στο Κογκρέσο τα σοβαρά νομικά ζητήματα και τις προκλήσεις για την προστασία των δικαιωμάτων των υποκειμένων που ανακύπτουν από την εν λόγω συμφωνία, καλώντας το Κογκρέσο να αποτρέψει την θέση της σε ισχύ.

Είκοσι (20) οργανώσεις από την Ευρώπη και τις Η.Π.Α., συμπεριλαμβανομένης της Homo Digitalis,  όπως οι Access Now, European Digital Rights (EDRi), Electronic Frontier Finland, Electronic Frontier Foundation, Initiative für Netzfreiheit, Open Rights Group, Statewatch, κ.α. συνυπογράφουν τις προτάσεις του EPIC.

Μπορείτε να δείτε το κείμενο των προτάσεων όπως κατατέθηκαν στο Κογκρέσο των Η.Π.Α. εδώ.

Μπορείτε να μάθετε περισσότερα στην ιστοσελίδα του EPIC, εδώ.

Η Homo Digitalis είχε την μεγάλη τιμή και χαρά να παρευρεθεί και να παραχωρήσει ομιλία στην δεύτερη συνάντηση της Ομάδας Εργασίας του Centre for European Policy Studies (CEPS) για την Τεχνητή Νοημοσύνη και την Κυβερνοασφάλεια.

Το CEPS αποτελεί γνωστό think tank με μεγάλη ερευνητική δραστηριότητα και επιρροή αναφορικά με θέματα που άπτονται της Ευρωπαϊκής Ένωσης.  Την οργάνωση μας εκπροσώπησε στην ομάδα εργασίας ο Λευτέρης Χελιουδάκης.

Με την ομιλία μας εστιάσαμε την προσοχή μας στις «Κατευθυντήριες Γραμμές Δεοντολογίας για Αξιόπιστη Τεχνητή Νοημοσύνη»  που δημοσίευσε τον Απρίλιο του 2019 η Ομάδα Εμπειρογνωμόνων Υψηλού Επιπέδου για την Τεχνητή Νοημοσύνη της Ευρωπαϊκής Επιτροπής.

Συγκεκριμένα εκθέσαμε τις παρατηρήσεις μας αναφορικά με τέσσερις (4) από τις απαιτήσεις που αναφέρει η Ομάδα Εμπειρογνωμόνων για την αξιόπιστη τεχνητή νοημοσύνη, ήτοι «Ανθρώπινη παρέμβαση και εποπτεία», «Ιδιωτική ζωή και διακυβέρνηση των δεδομένων», «Διαφάνεια», και «Πολυμορφία, απαγόρευση των διακρίσεων και δικαιοσύνη».

Θα θέλαμε να ευχαριστήσουμε θερμά τον Επικεφαλή της Ομάδας Εργασίας κ. Lorenzo Pupillo, και τον Εισηγητή αυτής κ. Stefano Fantin για την ευγενική τους πρόσκληση τους.

Μπορείτε να μάθετε περισσότερα για την εκδήλωση και το πρόγραμμα αυτής εδώ.

Γράφει ο Βύρων Καβαλίνης*

Το SSL πλέον θεωρείται απαραίτητο σε ένα website γιατί προστατεύει τόσο το ίδιο, όσο και τον επισκέπτη. Επίσης, βοηθάει στην επισκεψιμότητα του website, καθώς μεγάλες μηχανές αναζήτησης έχουν ανακοινώσει ότι websites χωρίς SSL δεν θα εμφανίζονται πρώτα στα αποτελέσματα των αναζητήσεων.

Σκοπός του άρθρου αυτού είναι να παρουσιάσει τεχνικά πώς λειτουργεί ένα SSL. Μπορείτε να διαβάσετε περισσότερες πληροφορίες για τα πιστοποιητικά στο άρθρο του Γιάννη Κωνσταντινίδη.

Το SSL είναι ένα παγκόσμιο πρωτόκολλο το οποίο αναπτύχθηκε ώστε να παρέχει ασφάλεια στην μετάδοση των δεδομένων στο διαδίκτυο. Το SSL βεβαιώνει ότι τα δεδομένα που θα ανταλλαχθούν μεταξύ δύο συστημάτων (client, server) είναι αδύνατον να διαβαστούν από κάποιον τρίτο μη εξουσιοδοτημένο χρήστη.

Το SSL χρησιμοποιεί μεθόδους κρυπτογράφησης των δεδομένων που ανταλλάσσονται δημιουργώντας μια ασφαλή σύνδεση μεταξύ των δύο συστημάτων. Η λειτουργία του γίνεται μετά το TCP/IP πρωτόκολλο και πριν της εφαρμογές υψηλού επιπέδου όπως για παράδειγμα το HTTP/FPT/IMAP.

Ουσιαστικά αυτό που κάνει το πιστοποιητικό είναι να κρυπτογραφεί τις πληροφορίες που λαμβάνει από τις εφαρμογές υψηλού επιπέδου και στη συνέχεια να τις μεταδίδει.

Η Netscape το 1996 κυκλοφόρησε την έκδοση 3.0 του SSL το οποίο αποτέλεσε και τη βάση για την ανάπτυξη του πρωτοκόλλου TLS το οποίο πλέον έχει αντικαταστήσει το SSL ενώ συνεχίζουμε και το αναφέρουμε σαν απλό SSL.

Πώς λειτουργεί το πιστοποιητικό

Όπως αναφέραμε και παραπάνω το πιστοποιητικό δημιουργεί μια ασφαλή σύνδεση μεταξύ δύο συστημάτων και κρυπτογραφεί τα δεδομένα ώστε να μην μπορούν να “διαβαστούν” από κάποιο τρίτο μη εξουσιοδοτημένο χρήστη. Για να γίνει η σύνδεση αυτή χρησιμοποιούνται η συμμετρική και ασύμμετρη κρυπτογράφηση.

Τις δύο αυτές έννοιες έχει ήδη αναλύσει εξαιρετικά στο άρθρο του ο Αναστάσιος Αραμπατζής. Στο σημείο αυτό, θα τις εξηγήσουμε συνοπτικά με σκοπό να επικεντρωθούμε στη συνέχεια στη χρήση τους για τη λειτουργία του SSL.

Συμμετρική Κρυπτογράφηση

Στη συμμετρική κρυπτογράφηση τόσο ο αποστολέας όσο και ο παραλήπτης χρησιμοποιούν ένα κοινό κλειδί για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας. Η κρυπτογράφηση αυτή είναι πιο γρήγορη αλλά δεν είναι τόσο ασφαλής όσο η ασύμμετρη καθώς αν κάποιος τρίτος έχει το κλειδί πρόσβαση στο κλειδί της κρυπτογράφησης αυτόματα μπορεί να αποκρυπτογραφήσει και τα δεδομένα που ανταλλάσσονται.

Στην περίπτωση των υπολογιστών το κλειδί είναι ένας αριθμητικός κωδικός, το μέγεθος του οποίου ορίζεται από το πόσα bits τον αποτελούν.Ο πρώτος σημαντικός αλγόριθμος για κρυπτογράφηση δεδομένων μέσω υπολογιστή ήταν ο Data Encryption Stantard (DES) που αναπτύχθηκε από την IBM στις ΗΠΑ και εγκρίθηκε για χρήση το 1970. Ο DES χρησιμοποιεί κλειδί μήκους 56-bit, που διαθέτει πάνω από 72 τετράκις εκατομμύρια πιθανούς συνδυασμούς (72.057.594.037.927.936, για την ακρίβεια).

Πλέον, ο DES έχει αντικατασταθεί από τον αλγόριθμο Advanced Encryption Standard (AES), που χρησιμοποιεί κλειδιά 128, 192 ή 256-bit. Με την αύξηση των bit και οι πιθανοί συνδυασμοί έχουν αυξηθεί υπερβολικά πολύ. Ένα κλειδί 128-bit μπορεί να έχει πάνω από 300.000.000.000.000.000.000.000.000.000.000.000 πιθανούς συνδυασμούς. Ο μεγαλύτερος υπερυπολογιστής αυτή τη στιγμή στον κόσμο θα μπορούσε θεωρητικά να σπάσει τον DES σε 2 δευτερόλεπτα ενώ θα χρειαζόταν περίπου 250 δισεκατομμύρια χρόνια για να ελέγξει όλους τους συνδυασμούς του AES-128.

Άλλοι γνωστοί αλγόριθμοι είναι οι RC4, 3DES, IDEA, CAST5, Twofish, Serpent, Blowfish.

Ασύμμετρη κρυπτογράφηση

Ένα πρόβλημα της συμμετρικής κρυπτογράφησης είναι ότι αν κάποιος θέλει να στείλει κάτι κρυπτογραφημένο θα χρειαστεί με κάποιο τρόπο να μας στείλει και ένα αντίγραφο του κλειδιού του για να μπορέσουμε να το αποκρυπτογραφήσουμε.

Είναι κατανοητό ότι η μετάδοση του κλειδιού στο διαδίκτυο, που είναι ένα δημόσιο δίκτυο, θα έδινε την ευκαιρία σε οποιοδήποτε να έχει πρόσβαση σε αυτό και κατά συνέχεια να μπορεί να αποκρυπτογραφήσει και την πληροφορία που έχει σταλεί.

Αυτό το πρόβλημα λύνει η ασύμμετρη κρυπτογράφηση. Στην ασύμμετρη κρυπτογράφηση χρησιμοποιείται ένα public key το οποίο μπορεί μόνο να κρυπτογραφήσει την επικοινωνία η οποία μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο private key το οποίο είναι αποθηκευμένο και κρυφό. Με αυτό το τρόπο μόνο ο σωστός χρήστης μπορεί να αποκρυπτογραφήσει την πληροφορία που έχει λάβει. Η συγκεκριμένη κρυπτογράφηση είναι πιο ασφαλής αλλά απαιτεί μεγαλύτερη υπολογιστική ισχύ.

Συνοπτικά χρησιμοποιούνται δύο κλειδιά:
– Το Public key, που είναι δημόσιο και μπορεί να χρησιμοποιηθεί από οποιδήποτε για την κρυπτογράφηση δεδομένων.
– Το Private key, το οποίο είναι μυστικό και συνδέεται μαθηματικά με το Public key και είναι απαραίτητο για την αποκρυπτογράφηση.

Η διαδικασία ασφαλούς σύνδεσης

Όπως αναφέραμε παραπάνω, το TLS είναι το πρωτόκολλο κρυπτογράφησης του Internet και είναι ο διάδοχος του SSL (αλλά αναφέρεται ακόμα και σήμερα σαν SSL) και υπαγορεύει τα βήματα που πρέπει να ακολουθηθούν για να πραγματοποιηθεί μια ασφαλής σύνδεση.

Τα βήματα αυτά συμπεριλαμβάνουν, μεταξύ άλλων:
– ποια στοιχεία χρειάζεται να ανταλλάξουν ο υπολογιστής μας και ο server πριν δημιουργηθεί η ασφαλής σύνδεση
– ποιος αλγόριθμος Public/Asymmetric key θα χρησιμοποιηθεί και για την κρυπτογράφηση ποιων δεδομένων
– ποιος αλγόριθμος θα χρησιμοποιηθεί για το Symmetric key
– πόσο διάστημα θα διαρκέσει η σύνδεση (session) πριν χρειαστεί να ανανεωθεί

Για να δημιουργηθεί μια κρυπτογραφημένη επικοινωνία γίνεται χρήση τόσο της ασύμμετρης κρυπτογράφησης όσο και της συμμετρικής. Αρχικά και αφού έχει γίνει η αρχική επικοινωνία του browser με τον server και έγινε η επιβεβαίωση της ύπαρξης ενεργού πιστοποιητικού ξεκινάει η ασύμμετρη κρυπτογράφηση ενώ ακολουθεί η συμμετρική.

1. Ο browser στέλνει τα στοιχεία του στο server: ποιες εκδόσεις SSL και TLS υποστηρίζει, ποιους αλγόριθμους για την κρυπτογράφηση δεδομένων, στοιχεία που αφορούν το session (πχ ημερομηνία και ώρα έναρξης) και γενικά όσα στοιχεία χρειάζεται για να γίνει η σύνδεση.
2. Ο web server της σελίδας στέλνει τα αντίστοιχα στοιχεία του όσον αφορά το SSL/TLS, τους αλγόριθμους, το session κλπ. Επίσης στέλνει το digital certificate του.
3. Ο browser ελέγχει τρία πράγματα:
α) Αν το digital certificate προέρχεται από μια πιστοποιημένη Certificate Authority,
β) αν ισχύει ακόμα και
γ) αν συνδέεται με το site που έχουμε μπει.
4. Εφόσον είναι όλα καλά ο server στέλνει ένα αντίγραφο του ασύμμετρου δημόσιου κλειδιού του (public key). Με το κλειδί αυτό μπορεί να κρυπτογραφηθεί μόνο η πληροφορία ενώ για την αποκρυπτογράφηση της χρειάζεται το private key του server που είναι κρυμμένο και ασφαλές.
5. Με το public key του server, ο client δημιουργεί ένα συμμετρικό session key το οποίο κρυπτογραφεί με αυτό και το στέλνει σε αυτόν.
6. Ο server στη συνέχεια αποκρυπτογραφεί τα δεδομένα που του έχει στείλει ο client με το private key του κι έτσι έχει πλέον το συμμετρικό session key του client.
7. Πλέον ο client και o server κρυπτογραφούν και αποκρυπτογραφούν τα δεδομένα που στέλνουν και λαμβάνουν με τη χρήση του session key που έχουν και οι δύο πλέον. Αυτό επιτρέπει ένα ασφαλές κανάλι επειδή μόνο ο client και ο server γνωρίζουν το συμμετρικό session key και μόνο γι αυτή την περίοδο σύνδεσης. Αν ο περιηγητής χρειαστεί να συνδεθεί με τον server κάποια άλλη στιγμή τότε θα δημιουργηθεί νέο session key με τον παραπάνω τρόπο.

Το πιστοποιητικό SSL θεωρείται πλέον αναπόσπαστο κομμάτι μιας σελίδας. Η Google είχε ανακοινώσει ότι όσα sites δεν διαθέτουν ενεργό πιστοποιητικό δεν θα εμφανίζονται με προτεραιότητα στις αναζητήσεις των χρηστών, μια αλλαγή ιδιαίτερα σημαντική.

Από την πλευρά μας θα προτείναμε να ελέγχετε τις σελίδες που επισκέπτεστε ώστε να βεβαιωθείτε ότι διαθέτουν ενεργό πιστοποιητικό, ειδικά αν πρόκειται για online καταστήματα.

Μπορείτε να δείτε απλά βήματα ώστε να επιβεβαιώσετε ότι το πιστοποιητικό σας λειτουργεί κανονικά εδώ.

*Ο Βύρωνας είναι απόφοιτος του τμήματος Εφαρμοσμένης Πληροφορικής και Πολυμέσων του ΤΕΙ Ηρακλείου. Εργάζεται σε εταιρεία, η οποία δραστηριοποιείται στο χώρο του Web hosting και των domain names. Ασχολείται με την ανάπτυξη ιστοσελίδων και την ασφάλεια. Στο παρελθόν, έχει ασχοληθεί με τα πιστοποιητικά SSL.

Στις 24 Οκτωβρίου, η Homo Digitalis σε συνέχεια της από 30/05/2019 καταγγελίας της, υπέβαλε νέα καταγγελία ενώπιον της Ευρωπαϊκής Επιτροπής για μη συμμόρφωση αυτή τη φορά των διατάξεων του Ν.4624/2019 με το Δίκαιο της ΕΕ για τα προσωπικά δεδομένα και συγκεκριμένα τις διατάξεις της Οδηγίας 2016/680 αλλά και του Κανονισμού 2016/679 (Αριθμ. Πρωτ. CHAP(2019)03059).

Με την καταγγελία μας στοχεύουμε στο να υπογραμμίσουμε τις διατάξεις του Ν. 4624/2019 από τις οποίες ανακύπτουν σημαντικές προκλήσεις για την προστασία των δικαιωμάτων των υποκειμένων προσωπικών δεδομένων στην Ελληνική Επικράτεια. Σκοπός μας είναι οι εν λόγω διατάξεις να βελτιωθούν μέσω κάποιας άμεσης νομοθετικής τροποποίησης.

Βέβαια, αναμένουμε με μεγάλο ενδιαφέρον και την σχετική Γνώμη της Αρχής Προστασίας Προσωπικών Δεδομένων επί του συνόλου των διατάξεων του Ν.4624/2019. Θυμίζουμε, ότι από τις 20 Σεπτεμβρίου του 2019 η Homo Digitalis και η Ένωση Καταναλωτών “Η Ποιότητα της Ζωής” (Ε.Κ.ΠΟΙ.ΖΩ) απηύθυναν από κοινού αίτημα προς την ΑΠΔΠΧ για την έκδοση Γνώμης επί του Ν. 4624/2019.

Μπορείτε να βρείτε το πλήρες κείμενο της καταγγελίας μας ενώπιον της Ευρωπαϊκής Επιτροπής  εδώ και το αποδεικτικό της κατάθεσης αυτής εδώ.

Γράφουν οι Ελπίδα Βαμβακά*, Στέργιος Κωνσταντίνου*, Εμμανουήλ Τζιβιέρης*

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: “η Αρχή”) επέβαλε στον Οργανισμό Τηλεπικοινωνιών Ελλάδος Α.Ε. (εφεξής: “ΟΤΕ”) δύο πρόστιμα συνολικού ύψους 400.000 ευρώ αφενός για τη μη ικανοποίηση του δικαιώματος εναντίωσης και παραβίαση της αρχής της προστασίας των δεδομένων καθώς και για την παραβίαση  της αρχής της ακρίβειας και της προστασίας των δεδομένων  ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών της.

Οι σχετικές αποφάσεις είναι δημοσιευμένες στην ιστοσελίδα της Αρχής.

Α. Σύντομη περιγραφή των δύο αποφάσεων της Αρχής:

i) Ως προς την απόφαση 34/2019: μη ικανοποίηση του δικαιώματος εναντίωσης και παραβίαση της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών.

Στην Αρχή υποβλήθηκαν δύο (2) καταγγελίες φυσικών προσώπων συνδρομητών του ΟΤΕ από παραλήπτες μηνυμάτων διαφημιστικού περιεχομένου, σχετικά με την αδυναμία  διαγραφής τους από τη λίστα αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου.

Κατά την εξέταση των καταγγελιών αυτών προέκυψε ότι, από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες άσκησαν το δικαίωμά τους αυτό, μέσω του συνδέσμου «unsubscribe» ενώ, οι εναλλακτικοί μηχανισμοί, δηλαδή τηλεφωνικά και  με αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου, λειτουργούσαν.

Μόλις αυτό έγινε αντιληπτό, μετά την παρέμβαση της Αρχής, διορθώθηκε το σφάλμα και o OTE προέβη στη διαγραφή 8.000 περίπου συνδρομητών, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από τις λίστες αποδεκτών από το 2013.

Η Αρχή λοιπόν διαπίστωσε παράβαση του δικαιώματος εναντίωσης του υποκειμένου στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης (άρθρο 21 παρ. 3) του Κανονισμού καθώς και του άρθρου 25 (προστασία των δεδομένων ήδη από το σχεδιασμό) του Κανονισμού και επέβαλε διοικητικό πρόστιμο στον ΟΤΕ.

Πιο συγκεκριμένα, η Αρχή αξιολογώντας,

α. τη χρονική διάρκεια του συμβάντος κατά το οποίο συνδρομητές του ΟΤΕ στερήθηκαν του δικαιώματός τους (από το 2013, 8.000 περίπου συνδρομητές είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν)

β. τα  στοιχεία που είναι δημόσια διαθέσιμα στο Γ.Ε.Μ.Η., από τα οποία προκύπτουν τα έσοδα του ομίλου ΟΤΕ για το έτος 2018 (2.887,6 εκατομμύρια ευρώ) και

γ.  ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας

Επέβαλε στον ΟΤΕ διοικητικό πρόστιμο ύψους 200.000 ευρώ, με βάση τα κριτήρια του άρθρου 83 §2 του ΓΚΠΔ.

ii) Ως προς την απόφαση 31/2019: παραβίαση της αρχής της ακρίβειας και της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών

Στην προκειμένη περίπτωση, υποβλήθηκαν καταγγελίες των πελατών του ΟΤΕ  με τις οποίες, οι καταναλωτές  παραπονέθηκαν ότι, παρότι είχαν εγγραφεί στο μητρώο του άρθρου 11 του νόμου 3471/2006,[1] συνέχιζαν  να λαμβάνουν  κλήσεις από τρίτες εταιρείες για απευθείας εμπορική προώθηση.

Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Σε ικανοποίηση του αιτήματος των συνδρομητών, ο ΟΤΕ διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους από το τηρούμενο μητρώο του άρθρου 11.

Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή- σύστημα- του ΟΤΕ, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο,  που έστειλε ο ΟΤΕ στις συνεργαζόμενες εταιρείες διαφήμισης, αφού τα δύο συστήματα λόγω του σφάλματος στη διασύνδεσή τους, δεν είχαν το ίδιο περιεχόμενο. Αποτέλεσμα αυτού ήταν οι συγκεκριμένοι συνδρομητές να λαμβάνουν διαφημιστικά μηνύματα παρότι είχαν εγγραφεί στο μητρώο του άρθρου 11.

Για την ανωτέρω περίπτωση η Αρχή έκρινε ότι, υπάρχει παράβαση μη ορθής τήρησης του μητρώου του άρθρου 11 ακόμη και όταν η  μη ορθή τήρηση οφείλεται σε επιβεβαιωμένο τεχνικό πρόβλημα καθώς συνεπάγεται: α) παράβαση της αρχής προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών της και της αρχής της ακρίβειας και β) στέρηση του δικαιώματος των συνδρομητών να μη λαμβάνουν αυτόκλητες διαφημιστικές κλήσεις, ενώ είχαν την εντύπωση ότι διασφαλιζόταν η άσκηση του δικαιώματος αυτού.

Με την 31/2019 απόφαση της Αρχής , η αρχή επέβαλε πρόστιμο ποσού διακοσίων χιλιάδων ευρώ (200.000) στον ΟΤΕ.

B) Κάποιες  σκέψεις

i) ως προς το επιβληθέν τελικά πρόστιμο

Το πρώτο πράγμα που διακρίνει κανείς διαβάζοντας τις δύο αποφάσεις είναι φυσικά το ύψος του επιβληθέντος προστίμου. Το σωρευτικό πρόστιμο των 400.000€ αποτελεί το υψηλότερο πρόστιμο που έχει επιβληθεί ποτέ από την Αρχή.

Υπενθυμίζεται ότι, το ανώτατο προβλεπόμενο πρόστιμο, σύμφωνα με τις διατάξεις του «παλιού» Ν. 2472/1997, ήταν οι 150.000 €, ενώ σε αυτό το ύψος ανήλθε και το πρόσφατο πρόστιμο που επέβαλε η Αρχή στην PwC με την υπ’ αριθμόν 26/2019 απόφαση της, εφαρμόζοντας, ωστόσο, τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων[2] (στο εξής ΓΚΠΔ). Αν και δε πρόκειται για το πρώτο πρόστιμο που επιβάλλει η Αρχή κατ’ εφαρμογή των διατάξεων του ΓΚΠΔ,  εντούτοις είναι η πρώτη φορά που ξεπερνά το «φράγμα» των 150.000€.

Επιπλέον, στις συγκεκριμένες αποφάσεις η Αρχή εφαρμόζει πιστά τα κριτήρια επιμέτρησης διοικητικών προστίμων, όπως προβλέπονται στο άρθρο 83 ΓΚΠΔ και όπως τα εφάρμοσε και στην 26/2019. Ειδικότερα στις σκέψεις 6, 7 και 8 αμφότερων των αποφάσεων, λαμβάνονται υπόψη τα εξής:

α) Η βαρύτητα και η διάρκεια της παράβασης,

β) Το πλήθος θιγόμενων υποκειμένων επεξεργασίας,

γ) Τα τεχνικά και οργανωτικά μέτρα που έλαβε ο υπεύθυνος της επεξεργασίας,

δ) Τον δόλο του υπευθύνου της επεξεργασίας

ε) Την οικονομική κατάσταση του υπεύθυνου επεξεργασίας,

στ) Προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ,

ζ) Η διάθεση συνεργασίας με την Αρχή.

Παράλληλα, η Αρχή με τις δύο αυτές αποφάσεις, στέλνει ηχηρό μήνυμα στους υπεύθυνους επεξεργασίας να μην υποτιμούν την υποχρέωση για ακρίβεια των δεδομένων και προστασία τους ήδη από τον σχεδιασμό, ενώ ιδιαίτερη έμφαση δίνεται στην τήρηση των κατάλληλων τεχνικών και οργανωτικών μέτρων με παράθεση συγκεκριμένων παραδειγμάτων ορθής συμμόρφωσης, όπως η τήρηση διαδικασίας ικανοποίησης δικαιωμάτων των υποκειμένων και η διενέργεια περιοδικών ελέγχων.

ii) Ως προς την αλληλεπίδραση του ν.3471/2006 και του ΓΚΠΔ

Οι καταγγελίες που οδήγησαν στην έκδοση των δύο αποφάσεων, έδωσαν την ευκαιρία στην Αρχή,  να ξεκαθαρίσει, στην Ελληνική εφαρμογή, τα ζητήματα που προκύπτουν  όταν οι διατάξεις του ΓΚΠΔ εφαρμόζονται ταυτόχρονα με τις διατάξεις του ν.3471/2006. O τελευταίος, αποτελεί ενσωμάτωση της οδηγίας για το e-Privacy[3] και ρυθμίζει την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών.

Με μια λιτή αλλά περιεκτική διατύπωση η Αρχή, με την υπ’ αριθμόν 31/2019 απόφασή της εύλογα έκρινε ότι “για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών που δεν ρυθμίζεται ειδικότερα στον ν. 3471/2006 εφαρμόζεται ο ΓΚΠΔ”.

Επί της ουσίας, η αρχή ξεκαθάρισε ότι, οι βασικές αρχές που διέπουν την επεξεργασία δεδομένων και που προβλέπονται στο άρθρο 5 και 25 του ΓΚΠΔ, καθώς και οι παράγωγες διατάξεις τους, τυγχάνουν πλήρους εφαρμογής σε όλους τους τύπους επεξεργασίας, συμπεριλαμβανομένης και της επεξεργασίας για την διεξαγωγή της ηλεκτρονικής επικοινωνίας. Πρακτικά εφαρμόζεται η αρχή «lex specialis derogate legi generali»[4] βάσει της οποίας ο ν.3471/2006, ως «lex specialis», εξειδικεύει τον ΓΚΠΔ σχετικά με τις ηλεκτρονικές επικοινωνίες. Συνεπώς, εν απουσία ειδικών διατάξεων, το lex generalis -δηλαδή ο ΓΚΠΔ- εφαρμόζεται[5].

Η απόφαση αυτή ουσιαστικά, αποτελεί την συνέχεια μιας παγιωμένης Ενωσιακής πρακτικής η οποία προσδιορίστηκε νομολογιακά,[6] νομοθετικά[7] και εκφράστηκε από την Ομάδα Εργασίας του άρθρου 29[8] και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (στο εξής ΕΣΠΔ)[9].

iii) ως προς τον τύπο ευθύνης του παρόχου

Και στις δύο αποφάσεις η Αρχή συμπεριλαμβάνει στο σκεπτικό της την ανυπαρξία δόλου από την πλευρά του υπευθύνου της επεξεργασίας.[10]

Η παράμετρος του δόλου και της αμέλειας παίζει ρόλο στον προσδιορισμό του ύψους του προστίμου αλλά και στην θεμελίωση της ευθύνης εκ μέρους του υπευθύνου της επεξεργασίας. Στον ΓΚΠΔ ορίζεται πως “[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας”[11] και πως “κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό.”[12] Επίσης, στο ν. 3471/2006 ορίζεται ρητά πως “[φ]υσικό ή νοµικό πρόσωπο που, κατά παράβαση του νόµου αυτού, προκαλεί περιουσιακή βλάβη υποχρεούται σε πλήρη αποζηµίωση”[13].

Και στα δύο ρυθμιστικά πλαίσια, οι προϋποθέσεις γέννησης της ευθύνης που προκύπτουν από την γραμματική ερμηνεία των διατάξεων είναι η ζημία, η παραβίαση του κανόνα και η αιτιώδης συνάφεια ανάμεσα σε αυτά τα δύο. Σε κανένα σημείο δεν προβλέπεται η ύπαρξη υπαιτιότητας για την θεμελίωση της ευθύνης. Κάτι που θα έπρεπε να αναφέρεται ρητά.[14]

Συνεπώς, προκύπτει πως κατ’αρχήν ο υπεύθυνος επεξεργασίας έχει γνήσια αντικειμενική ευθύνη για τις επεξεργασίες που πραγματοποιεί. Ωστόσο, η ευθύνη αυτή τρέπεται σε νόθο αντικειμενική από την τρίτη παράγραφο του άρθρου 82 του ΓΚΠΔ η οποία ορίζει ότι “[ο] υπεύθυνος επεξεργασίας […] απαλλάσσεται από την ευθύνη […] εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας”.

Το ίδιο ίσχυε με το νόμο 2472/1997[15] όπου κατ’ αρχήν με το άρθρο 23 θεμελιώνονταν γνήσια αντικειμενική ευθύνη. Ωστόσο, η δεύτερη παράγραφος του ίδιου άρθρου η οποία όριζε πως “[η] κατά το άρθρο 932 ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου […]  παράβαση οφείλεται σε αμέλεια”[16] και συνεπώς μετέτρεπε την ευθύνη του υπεύθυνου από γνήσια αντικειμενική, σε νόθο αντικειμενική[17].

Η άποψη ότι η ευθύνη του υπευθύνου επεξεργασίας είναι νόθος αντικειμενική υποστηρίχθηκε από την Ελληνική νομολογία[18] καθώς και από μια μερίδα της θεωρίας.[19] Το ότι ο πάροχος υπηρεσιών υπέχει νόθο αντικειμενική ευθύνη υποστηρίζεται και από τις εθνικές διατάξεις όμορων δικαιϊκών κλάδων, όπως το δίκαιο της προστασίας του καταναλωτή.[20]

Τέλος, βάσει της αρχής της λογοδοσίας[21] ο υπεύθυνος επεξεργασίας έχει το βάρος ευθύνης της απόδειξης της συμμόρφωσης του με τις βασικές αρχές της επεξεργασίας που προβλέπει ο ΓΚΠΔ. Συνεπώς και ως προς την συμμόρφωση του με τον Κανονισμό, η ευθύνη του υπεύθυνου συνιστά τελικά νόθο αντικειμενική ευθύνη.

[1] Σύμφωνα με το άρθρο 11 § 2 του ν.3471/2006, οι φορείς παροχής της επικοινωνίας υποχρεούνται να τηρούν ειδικό κατάλογο με τους  συνδρομητές που έχουν δηλώσει προς τον φορέα παροχής της  υπηρεσίας, ότι δεν επιθυμούν γενικώς να γίνονται δέκτες μη ζητηθείσας επικοινωνίας για σκοπούς μάρκετινγκ.

[2] Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

[3] Οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών

[4] Απόφαση της 22ης Απριλίου 2016, RENV I και RENV II, Τ-50/06, EU:T:2016:227, σκέψη 81

[5] Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Γνώμη 5/2019 σχετικά με την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων, 12 Μαρτίου 2019, σ. 18

[6] Απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie, C-210/16, EU:C:2018:388, σκέψεις 33 -34

[7] ‘Άρθρο 95 σε συνδυασμό με την αιτιολογική σκέψη 173 ΓΚΠΔ

[8] Ομάδα Εργασίας του άρθρου 29 για την προστασία των δεδομένων, Γνώμη 2/2010 σχετικά με την επιγραμμική συμπεριφορική διαφήμιση, 22 Ιουνίου 2010, WP 171, σ. 11. Βλ. επίσης Γνώμη 1/2008 σχετικά με τα θέματα προστασίας δεδομένων σε σχέση με τις μηχανές αναζήτησης, 4 Απριλίου 2008,WP148, ενότητα 4.1.3, σ. 13-15

[9] Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Γνώμη 5/2019 σχετικά με την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων, 12 Μαρτίου 2019

[10] ΑΠΔΠΧ, Αποφάσεις 31/2019,Γ/ΕΞ/6223/13-09-2019 και 34/2019 Γ/ΕΞ/6549/30-09-2019, σκέψη 8

[11] Άρθρο 82§1 ΓΚΠΔ

[12] Άρθρο 82§2 εδ.α’ ΓΚΠΔ

[13] Άρθρο 14§1 εδ.α’’ ν.3471/2006

[14] Αι. Βραττή (2012), Η αστική ευθύνη στο νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα, Διπλωματική εργασία, σ.42. Διαθέσιμο στο https://pergamos.lib.uoa.gr/uoa/dl/frontend/file/lib/default/data/1321570/theFile (τελευταία πρόσβαση 13/10/2019)

[15] Άρθρο 21§1 εδ.α’ ν.2472/1997 και Άρθρο 21§1 εδ.γ’ ν.2472/1997

[16] Άρθρο 21§2 ν.2472/1997

[17] Αι. Βραττή (2012), Η αστική ευθύνη στο νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα, Διπλωματική εργασία, σ.43. Διαθέσιμο στο https://pergamos.lib.uoa.gr/uoa/dl/frontend/file/lib/default/data/1321570/theFile (τελευταία πρόσβαση 13/10/2019)

[18] ΑΠ 1923/2006, ΝοΒ 2006, σελ 367, ΑΠ 353/2009, ΝοΒ 2009, σελ 1428, ΑΠ 174/2011, ΝοΒ 2011, σελ 1606

[19] Ι. Ιγγλεζάκης, Ευαίσθητα Προσωπικά Δεδομένα, Εκδόσεις Σάκκουλας,Αθήνα-Θεσσαλονίκη 2004, σ. 283-284

[20] Άρθρο 8 του Ν. 2251/1994 περί «προστασίας καταναλωτών», όπως αυτό τροποποιήθηκε με το άρθρο 10 του Ν. 3587/2007

[21] Η οποία ρυθμίζεται με τα άρθρα 5,77,82 και 83 ΓΚΠΔ

---

*Η Ελπίδα Βαμβακά είναι πρόεδρος της Homo Digitalis και νομική σύμβουλος της Enartia Group.

*Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με εξειδίκευση στην προστασία προσωπικών δεδομένων.

*Ο Εμμανουήλ Τζιβιέρης είναι Υπεύθυνος Προστασίας Δεδομένων (DPO) της Optima Bank.