Γράφει ο Κωνσταντίνος Κακαβούλης

Στο τέλος Μαΐου, η Βελγική Αρχή Προστασίας Προσωπικών Δεδομένων (“L’Autorité de protection des données -APD”) επέβαλε για πρώτη φορά πρόστιμο για παραβίαση των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (“GDPR”).

Πιθανότατα ήδη βαρεθήκατε και θέλετε να σταματήσετε να διαβάζετε αυτό το άρθρο. Αν ακούσετε και το ποσό του προστίμου, μάλλον θα σταματήσετε άμεσα: μόλις 2.000 ευρώ.

Και όμως, αυτή η απόφαση είναι πολύ ενδιαφέρουσα. Και αυτό γιατί η Βελγική Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε το πρόστιμο αυτό σε ένα δήμαρχο!

Ο δήμαρχος αυτός είχε στείλει 2 emails σε δύο κατοίκους της πόλης του σχετικά με την προεκλογική του εκστρατεία. Οι δύο πολίτες είχαν στείλει πρώτοι email στο δήμαρχο, στα οποία του ανέλυαν την ιδέα τους για ένα project στην πόλη τους. Ο δήμαρχος την ημέρα πριν τις τοπικές εκλογές απάντησε στα emails των δύο πολιτών στέλνοντάς τους το πολιτικό του πρόγραμμα.

Η Βελγική Αρχή έκρινε ότι η χρήση των διευθύνσεων emails των δύο πολιτών ήταν καταχρηστική και επέβαλε πρόστιμο.

«Οι δημόσιοι λειτουργοί είναι οι πρώτοι οι οποίοι πρέπει να συμμορφώνονται με το νόμο. Ένας δήμαρχος αναμένεται και οφείλει να γνωρίζει τη νομοθεσία και να συμμορφώνεται με αυτήν.»

Όπως σημείωσε ο Hielke Hijmans, πρόεδρος της Βελγικής Αρχής:«η χρήση προσωπικών δεδομένων από πολιτικούς για εκλογικούς σκοπούς είναι ένα σημαντικό θέμα για τους πολίτες. Οι δημόσιοι λειτουργοί είναι οι πρώτοι οι οποίοι πρέπει να συμμορφώνονται με το νόμο. Ένας δήμαρχος αναμένεται και οφείλει να γνωρίζει τη νομοθεσία και να συμμορφώνεται με αυτήν.»

Τα δεδομένα προσωπικού χαρακτήρα «συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς» (άρθρο 5(β) GDPR).

Στη συγκεκριμένη περίπτωση, ο δήμαρχος είχε λάβει τις διευθύνσεις email των δύο πολιτών για ένα πολύ συγκεκριμένο σκοπό. Επέλεξε όμως να τις χρησιμοποιήσει για έναν εντελώς διαφορετικό σκοπό. Η συμπεριφορά του αυτή αποτελεί παραβίαση του GDPR. Μάλιστα, είναι ιδιαίτερα ενδιαφέρον το γεγονός οτι η Βελγική Αρχή εστίασε τη προσοχή της στις διατάξεις του GDPR και όχι στη εθνική νομοθεσία σχετικά με τις ηλεκτρονικές επικοινωνίες.

Τι μας έδειξε λοιπόν η Bελγική Αρχή με την απόφαση αυτή;

Ότι η προστασία προσωπικών δεδομένων είναι ευθύνη όλων!

Η υποχρέωση προστασίας και ορθής επεξεργασίας προσωπικών δεδομένων δε βαρύνει μόνο τις εταιρείες και τους οργανισμούς. Οι δημόσιοι λειτουργοί και οι έχοντες δημόσια αξιώματα υπέχουν επίσης σημαντικότατη ευθύνη. Οφείλουν να συνειδητοποιήσουν ότι προσωπικά δεδομένα τα οποία έχουν συλλέξει κατά την άσκηση δημόσιας εξουσίας, δεν μπορούν σε καμία περίπτωση να χρησιμοποιηθούν για προσωπικό όφελος.

Σαφώς, γνωρίζαμε ήδη από το πεδίο εφαρμογής του GDPR ότι και οι δημόσιοι λειτουργοί οφείλουν να συμμορφώνονται με τον Κανονισμό. Όμως, είναι η πρώτη φορά που μία εθνική Αρχή το εφαρμόζει στην πράξη.

Καθώς οι εθνικές εκλογές πλησιάζουν στη χώρα μας και έχοντας ακόμα νωπές μνήμες από προεκλογικά μηνύματα υποψηφίων στις αυτοδιοικητικές εκλογές και τις Ευρωεκλογές, αναμένουμε να δούμε αν οι υποψήφιοι αυτή τη φορά θα λάβουν υπόψη τα προσωπικά δεδομένα των πολιτών ως ένα αγαθό άξιο προστασίας.

Σε κάθε περίπτωση, αν νιώθετε ότι τα προσωπικά σας δεδομένα παραβιάζονται από υποψηφίους στις επικείμενες εκλογές, μπορείτε να υποβάλετε άμεσα και δωρεάν καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Μάλιστα, η Ελληνική Αρχή πρόσφατα δημοσίευσε την απόφασή της για μία παρόμοια σχετικά υπόθεση, με την οποία υποβάλει το πρόστιμο των 2.000 ευρώ σε έναν υποψήφιο ευρωβουλευτή.

Γράφει ο Κωνσταντίνος Ζουμπουλάκης*

Η χρήση ψηφιακών μέσων επικοινωνίας είναι πλέον καθολική. Πράγματι, ποιος δεν απολαμβάνει την ευκολία της αποστολής ενός e-mail ή μιας γρήγορης συνομιλίας στα μέσα κοινωνικής δικτύωσης;

Ωστόσο, η διάδοση των ηλεκτρονικών επικοινωνιών διευκολύνει και δραστηριότητες που ξεπερνούν τα όρια μιας καθημερινής συνομιλίας και γίνεται εργαλείο στην διάπραξη αξιόποινων πράξεων. Συγκεκριμένα, η ψηφιοποίηση της επικοινωνίας και των συναλλαγών ωφελεί αναπόφευκτα την εγκληματική δραστηριότητα˙ όχι μόνο σε επίπεδο ηλεκτρονικού εγκλήματος, αλλά και σε ένα πρακτικότερο πλαίσιο, όπως αυτό της επικοινωνίας μεταξύ των δραστών για τον σχεδιασμό και την υλοποίηση μιας εγκληματικής ενέργειας.

Πώς μπορεί αυτή η πραγματικότητα να επηρεάσει τα ψηφιακά δικαιώματα και την προστασία των προσωπικών μας δεδομένων;

Η απάντηση έρχεται μέσω της πρότασης της Ευρωπαϊκής Επιτροπής για την υιοθέτηση του Κανονισμού σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις.

Συγκεκριμένα, ο Ευρωπαίος νομοθέτης έκρινε απαραίτητη την θεσμοθέτηση ενός κοινού Ευρωπαϊκού πλαισίου για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία (e-evidence), με σκοπό την αποτελεσματικότερη καταπολέμηση του εγκλήματος. Το ενδιαφέρον του νομοθέτη φαντάζει αναμενόμενο, αν αναλογιστεί κανείς πως το 85% των ποινικών ερευνών περιλαμβάνει πλέον την χρήση ψηφιακών δεδομένων.

Σε αυτό το πλαίσιο, ο αριθμός των αιτημάτων προς τους μεγαλύτερους παρόχους (Google, Facebook, Twitter, Microsoft, Apple) για πρόσβαση των αρχών σε αποθηκευμένα ψηφιακά δεδομένα αυξήθηκε κατά 84% την πενταετία 2013-2018.

Η ανάγκη για διασυνοριακή πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία αφορά πλέον οποιοδήποτε αδίκημα και δεν περιορίζεται στο κυβερνοέγκλημα ή τα συνήθη διακρατικά εγκλήματα, διευρύνοντας έτσι σημαντικά το πεδίο εφαρμογής του προτεινόμενου Κανονισμού. Η πρόταση της Ευρωπαϊκής Επιτροπής στοχεύει στο να διευκολύνει και να επιταχύνει την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία, μειώνοντας σημαντικά τον κίνδυνο διαγραφής τους από τους παρόχους.

Είναι σαφές πως η  κυριαρχία της ψηφιακής επικοινωνίας καθιστά την πρόσβαση στα ψηφιακά δεδομένα αναγκαία για την αποτελεσματικότερη καταπολέμηση του εγκληματος.

Είναι ωστόσο η παραδοχή αυτή αρκετή για να άρει κάθε προβληματισμό σχετικά με την προστασία των προσωπικών δεδομένων;

Το πρόβλημα και η πρόταση της Ευρωπαϊκής Επιτροπής

Η πρόσβαση των αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία αποτελεί ένα περίπλοκο και χρονοβόρο ζήτημα, ιδίως λόγω της διαφορετικής νομοθεσίας που ισχύει στα κράτη μέλη της Ευρωπαϊκής Ένωσης, αλλά και του τόπου όπου τα δεδομένα είναι αποθηκευμένα.

H αποθήκευση των ψηφιακών δεδομένων γίνεται στους servers του εκάστοτε παρόχου ηλεκτρονικων υπηρεσιών, με αποτέλεσμα τα δεδομένα ενός χρήστη να βρίσκονται διάσπαρτα σε διαφορετικές τοποθεσίες και η πρόσβαση σε αυτά να διέπεται από την εκάστοτε ισχύουσα εθνική νομοθεσία.

Γίνεται συνεπώς αντιληπτό πως ο τοπικός κατακερματισμός των δεδομένων ενος χρήστη και το διαφορετικό νομοθετικό πλαίσιο που ισχύει ανά τα κράτη δυσχεραίνει την πρόσβαση των αρχών και επιβραδύνει σημαντικά την διαδικασία.

Για παράδειγμα, προκειμένου μία δικαστής να αποκτήσει πρόσβαση στα δεδομένα της συνομιλίας μεταξύ δύο Ελλήνων στο WhatsApp, πρέπει να απευθύνει σχετικό αίτημα στις αρχές της χώρας που βρίσκονται εγκατεστημένοι οι servers και είναι αποθηκευμένα τα δεδομένα, καθιστώντας έτσι την όλη διαδικασία χρονοβόρα.

Μάλιστα, μολονότι η Ευρωπαϊκή Ένωση έχει ήδη υιοθετήσει την Οδηγία 2014/41/ΕΕ περί της ευρωπαϊκής εντολής έρευνας σε ποινικές υποθέσεις, κρίθηκε πως αυτή δεν επαρκεί για την αποτελεσματική και γρήγορη πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία. Τα παραδοσιακά μέσα συνεργασίας που έχει θεσπίσει η Ένωση δεν ανταποκρίνονται στον ιδιαίτερο χαρακτήρα των ψηφιακών δεδομένων, ο οποίος επιτάσει ταχύτερες διαδικασίες που θα εξασφαλίζουν την έγκαιρη πρόσβαση των αρχών.

Τί ακριβώς είναι όμως τα ηλεκτρονικά αποδεικτικά στοιχεία και γιατί μας αφορούν;

Εν συντομία, κάθε μορφής ψηφιακά δεδομένα που μπορούν να χρησιμοποιηθούν για την έρευνα και δίωξη ενός εγκλήματος θεωρούνται ηλεκτρονικά αποδεικτικά στοιχεία. Ένα e-mail, κάποιο μήνυμα στο WhatsApp, το πότε ήσασταν τελευταία φορά διαθέσιμη στο Messenger, όλα αυτά μπορούν να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για την καταπολέμηση του εγκλήματος.

Σύμφωνα με το άρθρο 2 του Κανονισμού, ως ηλεκτρονικά αποδεικτικά στοιχεία ορίζονται τα δεδομένα συνδρομητή, τα δεδομένα πρόσβασης, τα δεδομένα συναλλαγών και τα δεδομένων περιεχομένου που ειναι αποθηκευμένα σε ηλεκτρονική μορφή από πάροχο ηλεκτρονικών υπηρεσιών ή για λογαριασμό του.

– Δεδομένα συνδρομητή: Πληροφορίες που αφορούν την ταυτότητα του συνδρομητή (ονοματεπώνυμο, ημερομηνία γέννησης, διεύθυνση, τηλέφωνο, κλπ.), καθώς και το είδος και τη διάρκεια της χρησιμοποιούμενης υπηρεσίας.

– Δεδομένα πρόσβασης: Πληροφορίες που αφορούν την έναρξη και λήξη της περιόδου πρόσβασης ενός χρήστη σε μια υπηρεσία (ημερομηνία και ώρα χρήσης, διεύθυνση IP, κλπ.).

– Δεδομένα συναλλαγών: Πληροφορίες που αφορούν την χρήση μιας υπηρεσίας από τον εκάστοτε συνδρομητή και επικεντρώνονται κυρίως στον εντοπισμό της πηγής και του προορισμού ενός μηνύματος, την ανίχνευση της τοποθεσίας της συσκευής, καθώς και τον ακριβή προσδιορισμό της ημερομηνίας, ώρας και διάρκειας μιας επικοινωνίας.

– Δεδομένα περιεχομένου: Περιλαμβάνουν οποιαδήποτε πληροφορία μοιραζόμαστε στον ψηφιακό κόσμο και αποθηκεύεται σε ψηφιακή μορφή, όπως κείμενο, φωνή, βίντεο, εικόνες και ήχος.

Γίνεται συνεπώς αντιληπτό πως οι τέσσερις αυτές κατηγορίες δεδομένων περιλαμβάνουν το σύνολο των πληροφοριών που μοιραζόμαστε στο διαδίκτυο, ξεκινώντας από τα στοιχεία που αφορούν την ταυτότητα του χρήστη και φτάνοντας μέχρι το διαμοιραζόμενο περιεχόμενο καθαυτό (content και non-content data).

Με άλλα λόγια, το πότε συνδεθήκατε τελευταία φορά σε κάποια μέσο κοινωνικής δικτύωσης, πόσες φορές μιλήσατε με κάποιον και για πόση ώρα, αλλά και το ακριβές περιεχόμενο των μηνυμάτων που ανταλλάξατε, όλα αυτά αποτελούν νόμιμα αποδεικτικά στοιχεία και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση κάποιου προσώπου ή για την περαιτέρω διερεύνηση μιας ποινικής υπόθεσης.

Σύμφωνα με το προτεινόμενο νομοθετικό πλαίσιο, οι αρχές ενός κράτους (κράτος έκδοσης) μπορούν να διατάξουν απευθείας έναν πάροχο υπηρεσιών να υποβάλει ή να διατηρήσει τα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα στους servers του.

Μάλιστα, δεν απαιτείται οι servers να βρίσκονται εντός της Ε.Ε. ή να εχει ο πάροχος την έδρα του σε ευρωπαϊκό έδαφος, παρά αρκεί να προσφέρει τις υπηρεσίες του στην Ένωση. Για τον σκοπό αυτό, το κράτος έκδοσης δύναται να εκδίδει την Ευρωπαϊκή Εντολή Υποβολής Στοιχείων (ΕΕΥ), η οποία είναι δεσμευτική απόφαση και υποχρεώνει τον πάροχο να υποβάλει τα ηλεκτρονικά αποδεικτικά στοιχεία που έχει στη διάθεσή του, ή την Ευρωπαϊκή Εντολή Διατήρησης Στοιχείων (ΕΕΔ), η οποία είναι επίσης δεσμευτική απόφαση και υποχρεώνει τον πάροχο να διατηρήσει και μην διαγράψει τα αποθηκευμένα δεδομένα, ενόψει μελλοντικού αιτήματος υποβολής τους.

Οι αρχές του κράτους έκδοσης, του κράτους δηλαδή που εκδίδει τις εντολές υποβολής ή διατήρησης των δεδομένων, θα μπορούν πλέον να αποκτήσουν πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα οπουδήποτε στην Ε.Ε, υποβάλλοντας το αίτημά τους απευθείας στον πάροχο και όχι στις αντίστοιχες αρχές του κράτους όπου είναι εγκατεστημένοι οι servers (κράτος εκτέλεσης).

Ως εκ τούτου, παρακάμπτεται η τοπική νομοθεσία που ισχύει στο κράτος εκτέλεσης και υπόλογος για την υποβολή ή διατήρηση των δεδομένων γίνεται πλέον ο εκάστοτε πάροχος.

Η τοποθεσία που βρίσκονται αποθηκευμένα τα ψηφιακά δεδομένα και το δίκαιο του κράτους που φιλοξενεί τους servers καθίστανται πλέον αδιάφορα και δεν μπορούν να αποτελέσουν ανάχωμα στην πρόσβαση των αρχών.

Πηγή: http://europa.eu/rapid/press-release_MEMO-18-3345_en.htm

Ο πάροχος ηλεκτρονικών υπηρεσιών οφείλει να εξασφαλίσει την προσβαση στα ψηφιακά δεδομένα εντός δέκα ημερών, ή ακόμα και έξι ωρών εφόσον πρόκειται για επείγον αίτημα. Το δικαίωμα του εκάστοτε παρόχου να αρνηθεί την υποβολή των δεδομένων είναι εξαιρετικά περιορισμένο και αφορά περιπτώσεις όπου η εντολή υποβολής είναι ελλιπής, έχει πρόδηλα σφάλματα ή συντρέχουν λόγοι ανωτέρας βίας.

Στην περίπτωση που ο εκάστοτε πάροχος κρίνει πως μια ΕΕΥ παραβιάζει προδήλως τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε. ή είναι καταχρηστική, τότε οφείλει να απευθυνθεί στις αρμοδιες αρχές του κράτους εκτέλεσης.

Υπό το νέο αυτό καθεστώς, η διαδικασία για την υποβολή και διατήρηση των ψηφιακών δεδομένων τυποποιείται και επιταχύνεται σημαντικά. Ο προστατευτικός ρόλος του κράτους όπου βρίσκονται αποθηκευμένα τα δεδομένα περιορίζεται και η εγχώρια νομοθεσία καθίσταται σε μεγάλο βαθμό αδιάφορη.

Ταυτόχρονα, οι κρίσιμες αποφάσεις για την υποβολή των δεδομένων και η υποχρέωση συμμόρφωσης μετακυλύονται από τις αρχές του κράτους εκτέλεσης προς τον εκάστοτε πάροχο. Μάλιστα, η δέσμη των προτεινόμενων μέτρων για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία συμπληρώνεται από την πρόταση σχετικής Οδηγίας που υποχρεώνει τους παρόχους να ορίσουν νόμιμους εκπροσώπους, οι οποίοι και θα είναι υπεύθυνοι για την παραλαβή, συμμόρφωση και εκτελεση των ΕΕΥ και ΕΕΔ.

Και η προστασία των προσωπικών δεδομένων;

Η πρόταση τη Ευρωπαϊκής Επιτροπής εγείρει πολλά ερωτήματα, ιδίως σε ό,τι αφορά την προστασία των προσωπικών δεδομένων. Πράγματι, σχετικοί προβληματισμοί έχουν επισημανθεί τόσο από το Ευρωπαϊκό Κοινοβούλιο κατά τη διάρκεια των διαπραγματεύσεων, όσο και από ακαδημαϊκούς και οργανώσεις της κοινωνίας των πολιτών που εγείρουν εύλογες ενστάσεις έναντι της υιοθέτησης του κανονισμού από την Ε.Ε..

Ένα από τα πλέον καίρια σημεία κριτικής εντοπίζεται στο γεγονός πως η υποχρέωση συμμόρφωσης και εκτέλεσης μιας ΕΕΥ ή ΕΕΔ είναι πλέον αρμοδιότητα του παρόχου των ηλεκτρονικών υπηρεσιών και όχι των κρατικών ή δικαστικών αρχών.

Μάλιστα, ο πάροχος γίνεται πλέον υπεύθυνος για τον έλεγχο της προστασίας των θεμελιωδών δικαιωμάτων και καλείται να κρίνει εάν και  κατά πόσο μια ΕΕΥ ή ΕΕΔ παραβιάζει τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Γεννάται συνεπώς το ερώτημα κατά πόσο ο ιδιώτης πάροχος είναι κατάλληλος να αποφασίζει για την προστασία των θεμελιωδών δικαιωμάτων. Σε συνδυασμό μάλιστα με το γεγονός πως ο πάροχος υπόκειται σε κυρώσεις σε περίπτωση μη συμμόρφωσης με μία ΕΕΥ ή ΕΕΔ, είναι άξιο απορίας το εάν πράγματι θα πραγματοποιεί τον απαιτούμενο έλεγχο και θα μεριμνά για την προστασία των δικαιωμάτων ή υπό των φοβο της μη συμμόρφωσης θα προχωρά εν τέλει στην εκτέλεση κάθε ΕΕΥ.

Συνεπώς, το σημαντικότερο πρόβλημα που δημιουργείται με το νέο θεσμικό πλαίσιο είναι η μετατόπιση της υποχρέωσης ελέγχου της προστασίας των προσωπικών δεδομένων από το κράτος στον ιδιώτη πάροχο, ο οποίος επιφορτίζεται με την κρίσιμη απόφαση υποβολής ή μη των αποθηκευμένων δεδομένων, περιορίζοντας έτσι σημαντικά τον προστατευτικό ρόλο του κράτους.

Ταυτόχρονα, η πράξη για την οποία ζητείται η υποβολή των προσωπικών δεδομένων δεν απαιτείται να ενέχει την ίδια απαξία στην έννομη τάξη του κράτους έκδοσης και του κράτους εκτέλεσης. Η κατάργηση του κριτηρίου αυτού (dual criminality) μειώνει το επίπεδο προστασίας των προσωπικών δεδομένων και διευκολύνει την πρόσβαση ακόμη και σε περιπτώσεις που αφορούν ήσσονος σημασίας αδικήματα.

Το μοναδικό όριο που θέτει ο Κανονισμός αφορά την πρόσβαση σε δεδομένα συναλλαγών και περιεχομένου, όπου μια ΕΕΥ μπορεί να εκδοθεί μόνο για αδικήματα που επισύρουν στερητική της ελευθερίας ποινή με ανώτατο όριο τουλάχιστον τριών ετών στο κράτος έκδοσης.

Σε κάθε άλλη περίπτωση, ακόμη και αν οι νόμοι του κράτους εκτέλεσης προβλέπουν ένα αυξημένο πλαίσιο προστασίας των προσωπικών δεδομένων, αυτό είναι πλέον αδιάφορο. Παράλληλα, η υποβολή των δεδομένων συνδρομητή και προσβασης μπορεί να διαταχθεί για οποιοδήποτε αδίκημα.

Η σημασία των ηλεκτρονικών αποδεικτικών στοιχείων για την αποτελεσματική καταπολέμηση του εγκλήματος είναι αδιαμφισβήτητη. Στην εποχή των μέσων κοινωνικής δικτύωσης, ο όγκος και η ιδιαίτερη φύση των ψηφιακών δεδομένων καθιστούν πράγματι αναγκαία την θέσπιση νέων εργαλείων για την έγκαιρη και αποτελεσματική πρόσβαση των αρχών στα ψηφιακά δεδομένα.

Για να επιστρέψουμε ωστόσο και στο αρχικό μας ερώτημα, η παραδοχή αυτή δεν αρκεί για να άρει τους όποιους ενδοιασμούς εγείρει η νομοθετική πρόταση της Ευρωπαϊκής Ένωσης. Η ανάγκη για αποτελεσματικότητα πρέπει να συμβαδίζει με το κρίσιμο αίτημα της αποτελεσματικής προστασίας των προσωπικών δεδομένων και είναι συνεπώς καθήκον του Ευρωπαίου νομοθέτη να κινηθεί προς τον σκοπό αυτό.

*Ο Κωνσταντίνος Ζουμπουλάκης είναι δικηγόρος και υποψήφιος διδάκτωρ Ευρωπαϊκού Ποινικού Δικαίου στο Πανεπιστήμιο του Leiden. Είναι απόφοιτος της Νομικής Σχολής Αθηνών, κάτοχος μεταπτυχιακού τίτλου σπουδών στη Φιλοσοφία Δικαίου από το Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών και στην Ποινική Δικαιοσύνη (Criminal Justice MSc) από το Πανεπιστήμιο του Leiden. Είναι τακτικό μέλος της Homo Digitalis.

Γράφει ο Μιχάλης Δρακουλάκης*

Η Homo Digitalis έχει ήδη εξηγήσει εκτενώς ότι το εργασιακό σου περιβάλλον είναι και προσωπική σου υπόθεση.

Αναμφίβολα, μία από τις πλέον καίριες μορφές παραβίασης των εργασιακών δικαιωμάτων είναι  η καταγραφή των εργαζομένων στον εργασιακό τους χώρο μέσω εικονοληπτικών μηχανών (καμερών παρακολούθησης-κυκλωμάτων βιντεοσκόπησης ή/και ηχογράφησης), φαινόμενο το οποίο ήδη έχει αρχίσει να λαμβάνει επικίνδυνα μεγάλες διαστάσεις στην εποχή μας, τόσο στην Ελλάδα όσο και σε άλλα ευρωπαϊκά κράτη.

Τα συστήματα αυτά παρακολούθησης σχεδόν πάντα τοποθετούνται από τον εργοδότη με το πρόσχημα της «ασφάλειας» που θέλει να πετύχει για τον εργασιακό του χώρο και των αντικειμένων που βρίσκονται εντός αυτού, αλλά πάρα πολύ συχνά στην πράξη χρησιμοποιούνται ως μέσο ελέγχου της εργατικότητας/αποδοτικότητας κάθε εργαζομένου.

Πέραν αυτών εξάλλου, απλά και μόνο η ύπαρξη τέτοιων συστημάτων καταγραφής εικόνων ή/και ήχου (με κάμερες ή μικρόφωνα) στο εργασιακό περιβάλλον δημιουργεί επιπλέον άγχος στον εργαζόμενο, ο οποίος υπό το φόβο πιθανών επιπτώσεων, ωθεί τον εαυτό του σε μια κατάσταση συνεχούς εργασιακής υπερπροσφοράς, γεγονός που επίσης οδηγεί τους εργοδότες στη θέληση να συνεχίζουν ή ακόμα και να επιτείνουν τέτοιες καταστάσεις, με συνεχώς νέα κρούσματα καθημερινά στην κοινωνία.

Ως εκ τούτου, θα πρέπει να καταστεί απόλυτα σαφές και με τον πλέον ξεκάθαρο και κατηγορηματικό τρόπο ότι η καταγραφή εικόνας και ήχου εργαζομένων στους χώρους εργασίας τους δεν επιτρέπεται, δεν είναι θεμιτή με τους εθνικούς και διεθνείς κανόνες δικαίου και δεν δικαιολογείται για κανένα απολύτως λόγο παρά μόνο για πολύ συγκεκριμένες και ειδικές εξαιρέσεις και δεν θα πρέπει να γίνεται ανεκτή από κανένα εργαζόμενο καθώς συνιστά κατάφωρη παραβίαση όχι μόνο των εργασιακών του δικαιωμάτων αλλά της ίδιας της αξιοπρέπειάς του!

Τέτοια φαινόμενα θα πρέπει να καταγγέλλονται άμεσα στις αρμόδιες Αρχές και ο κάθε εργαζόμενος θα πρέπει να είναι σε θέση είτε συλλογικά είτε ατομικά να διεκδικεί τα δικαιώματά του και να προφυλάσσει εργασιακά κεκτημένα χρόνων.

ΤΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ

Καταρχάς, η ανθρώπινη αξιοπρέπεια, η προστασία της προσωπικότητας του ατόμου, το δικαίωμα στην ιδιωτικότητα και το δικαίωμα στην εργασία προβλέπονται και προστατεύονται από το ίδιο το Σύνταγμα (άρθρα 2, 4, 9Α, 22 και 25 αντίστοιχα) αλλά και από την Ευρωπαϊκή Σύμβαση των Δικαιωμάτων των Ανθρώπων (ΕΣΔΑ, άρθρα 1, 8, 10 και 17) και τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (άρθρα 1, 7, 8 και 15).

Πέραν αυτών, μετά τις 25/05/2018, οι διατάξεις του Κανονισμού 679/2016 (GDPR) εφαρμόζονται και στη χώρα μας, ακόμα και αν δεν έχουμε (ακόμη) εφαρμοστικό νόμο. Ο Κανονισμός αυτός προβλέπει μια σειρά από διατάξεις σχετικά με την προστασία του ατόμου από την παράνομη επεξεργασία των προσωπικών του δεδομένων.

Κυριότερα σημεία του νόμου αυτού είναι ότι:

-Τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, ενώ η έκταση της συλλογής και επεξεργασίας τους περιορίζεται στο μέτρο που είναι αναγκαίο για να επιτευχθεί ο σκοπός για τον οποίο συλλέγονται (άρθρο 5). Δηλαδή, τα δεδομένα θα πρέπει να είναι μόνο τόσα όσα απαιτείται από το σκοπό για τον οποίο γίνεται η επεξεργασία (όπως πχ η ασφάλεια του χώρου εν προκειμένω) και για κανένα λόγο περισσότερα.

-Η επεξεργασία των προσωπικών δεδομένων ενός φυσικού προσώπου μπορεί να γίνεται με τη συγκατάθεσή του (άρθρο 6). Η συγκατάθεση ωστόσο για να είναι έγκυρη, πρέπει να είναι ελεύθερη (π.χ. όχι προϊόν φόβου ή απειλής), ειδική, και προϊόν πλήρους πληροφόρησης. Επομένως, γίνεται αντιληπτό ότι όταν υφίσταται σχέση εργοδότη/απασχολούμενου η εξασφάλιση έγκυρης συγκατάθεσης είναι δύσκολο να επιτευχθεί εξαιτίας της σχέσης εξάρτησης που υπάρχει. Στον κανονισμό αναφέρονται και άλλες 5 περιπτώσεις, όπου η συνδρομή έστω ενός εξ αυτών είναι αρκετή και ως εκ τούτου δεν απαιτείται η συγκατάθεση, ωστόσο είναι περιπτώσεις όπου η επεξεργασία είναι (απολύτως) απαραίτητη για λόγους: α) εκτέλεσης σύμβασης στην οποία το υποκείμενο επεξεργασίας (εδώ εργαζόμενος) είναι  συμβαλλόμενο μέρος, β) συμμόρφωσης με έννομη υποχρέωση του υπευθύνου επεξεργασίας (εδώ εργοδότης), γ) διαφύλαξης ζωτικού συμφέροντος υπευθύνου επεξεργασίας (ενν. εργοδότη), δ) εκτέλεσης υποχρέωσης για λόγους δημοσίου συμφέροντος,  ε) όταν η επεξεργασία γίνεται για σκοπούς εννόμων συμφερόντων του υπευθύνου επεξεργασίας, τα οποία υπερισχύουν του συμφέροντος ή των θεμελιωδών δικαιωμάτων και των ελευθεριών των υποκειμένων (εδώ εργαζομένων).

-Όποιος επεξεργάζεται/συλλέγει προσωπικά δεδομένα (εν προκειμένω ο εργοδότης) είναι υποχρεωμένος να ενημερώνει κάθε φορά το εκάστοτε φυσικό πρόσωπο σχετικά με το ποιά προσωπικά δεδομένα του επεξεργάζεται-συλλέγει, για ποιο σκοπό προβαίνει σε αυτή την επεξεργασία, ποιοι άλλοι έχουν πρόσβαση σε αυτά τα δεδομένα και για το δικαίωμα του φυσικού προσώπου να έχει και το ίδιο πρόσβαση επίσης στα προσωπικά του αυτά δεδομένα που είναι αντικείμενο επεξεργασίας και το αφορούν (άρθρο 12 και 13).

-Κάθε άτομο έχει δικαίωμα να εναντιωθεί/προβάλει αντιρρήσεις στην καταγραφή/επεξεργασία των προσωπικών του δεδομένων (δικαίωμα εναντίωσης) (άρθρο 21). Αυτό σημαίνει ότι το εκάστοτε άτομο/εργαζόμενος μπορεί να απαιτήσει να πάψει οποιαδήποτε καταγραφή, ηχογράφηση, βιντεοσκόπηση ή παρακολούθησή του στην οποία δεν συναινεί ή η οποία δεν είναι σύμφωνη με το νόμο. Ο εργοδότης θα πρέπει να σεβαστεί τις αντιρρήσεις αυτές και να σταματήσει την επεξεργασία ειδάλλως θα πρέπει να είναι σε θέση να καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων (ενν. του εργαζομένου).

-Τέλος προβλέπονται αυστηρότατες διοικητικές (άρθρο 83 Κανονισμού) και ποινικές κυρώσεις για τους παραβάτες των συγκεκριμένων διατάξεων καθώς και αστική ευθύνη για αποζημίωση των ατόμων που ζημιώθηκαν από αυτή την παράνομη συμπεριφορά (άρθρα 22 και 23 του Ν.2472/1997, τα οποία τυγχάνουν εφαρμογής μιας και, όπως αναφέρθηκε, δεν υπάρχει ακόμη εφαρμοστικός νόμος σχετικά με τον GDPR που να προβλέπει νέες ποινικές και αστικές κυρώσεις- βλ. και αρθρ. 82 Κανονισμού)

Επίσης, ως εποπτική Αρχή για την προστασία των ατόμων από την παράνομη επεξεργασία των προσωπικών τους δεδομένων έχει θεσπιστεί στην Ελλάδα εδώ και αρκετά χρόνια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με ευρύτατες αρμοδιότητες όπως την έκδοση οδηγιών-αποφάσεων για ειδικότερη ρύθμιση αυτών των ζητημάτων αλλά και την επιβολή προστίμων όπου κρίνεται ότι παραβιάζεται ο νόμος.

Ειδικά ως προς το θέμα της καταγραφής εικόνας ή/και ήχου σε χώρους εργασίας η Αρχή έχει εκδώσει τις οδηγίες 115/2001 και 1/2011. Από την παράθεσή τους προκύπτει ότι:

-Τα δεδομένα που συλλέγονται δεν επιτρέπεται να είναι περισσότερα από όσα είναι απολύτως αναγκαία για την εκπλήρωση του σκοπού της επεξεργασίας (όπως π.χ. η ασφάλεια του χώρου) και να μη θίγονται τα θεμελιώδη δικαιώματα των προσώπων που ευρίσκονται στο χώρο.

-Το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας. Αντίθετα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι (μάλιστα, ως ενδεικτικά παραδείγματα που θα δικαιολογούσαν εξαίρεση στον κανόνα αναφέρονται μόνο χώροι όπως στρατιωτικά εργοστάσια και εγκαταστάσεις υψηλού κινδύνου, ενώ ακόμη και σε χώρους με αντικείμενα μεγάλης αξίας όπως χρηματοκιβώτια, η κάμερα θα πρέπει να καταγράφει ΜΟΝΟ το προστατευόμενο αντικείμενο και ΟΧΙ τον εργαζόμενο).

-Είναι απαραίτητη η τοποθέτηση προειδοποιητικών πινακίδων που θα ενημερώνουν ότι ο χώρος καταγράφεται.

–Απαγορεύεται ρητώς οποιαδήποτε χρήση δεδομένων που έχουν συλλεγεί για τους παραπάνω σκοπούς ως κριτήριο για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων, καθώς ο διαρκής έλεγχος των χώρων εργασίας με μέσα παρακολούθησης προσβάλλει την αξιοπρέπεια και την ιδιωτικότητα των εργαζομένων.

-Οι εκπρόσωποι των εργαζομένων πρέπει να ενημερώνονται και να διατυπώνουν γνώμη πριν από την εισαγωγή μεθόδων ελέγχου και παρακολούθησης των εργαζομένων καθώς και για τους λόγους για τους οποίους αυτή κρίνεται αναγκαία.

Περιμένουμε με μεγάλο ενδιαφέρον την ψήφιση του  νέου Νόμου που πρόκειται να θεσπιστεί εντός των επόμενων μηνών σχετικά με τα προσωπικά δεδομένα και ο οποίος, εν τοις πράγμασι, θα ενσωματώνει τον Ευρωπαϊκό Κανονισμό 679/2016 (GDPR), για να δούμε πώς θα ρυθμίζει η Ελλάδα τις διατάξεις για τις οποίες έχει, βάσει του Κανονισμού, διακριτική ευχέρεια ως προς την επιλογή της διαμόρφωσης του περιεχομένου τους. Αξίζει επίσης να αναφερθεί ότι σε σχέση με το αντίστοιχο νομικό πλαίσιο που υπήρχε για το συγκεκριμένο ζήτημα στον προϋπάρχοντα Νόμο (Ν.2472/1997) ο Κανονισμός όχι μόνο δεν αίρει κάποιο από τα υπάρχοντα δικαιώματα αλλά αντίθετα μεγιστοποιεί ακόμα περισσότερο την προστασία των πολιτών από τέτοιου είδους ενέργειες παράνομης επεξεργασίας των δεδομένων τους.

ΠΕΡΙΠΤΩΣΕΙΣ ΠΟΥ ΕΧΟΥΝ ΑΝΤΙΜΕΤΩΠΙΣΤΕΙ ΑΠΟ ΤΗ ΔΙΚΑΙΟΣΥΝΗ ΩΣ ΤΩΡΑ – Η ΔΙΑΜΟΡΦΩΘΕΙΣΑ ΝΟΜΟΛΟΓΙΑ

Με δεδομένο ότι το θέμα της καταγραφής εικόνας ή/και ήχου εργαζομένων στους χώρους εργασίας δεν έχει ακόμη αντιμετωπιστεί από τα Ελληνικά Δικαστήρια (αν και ήδη αναμένεται η έκδοση σχετικών αποφάσεων από το Συμβούλιο της Επικρατείας), για τα φαινόμενα που έχουν προκύψει ως τώρα σχετικά με το ζήτημα μπορεί να γίνει έρευνα αφενός στις αποφάσεις της Αρχής (ΑΠΔΠΧ) και στα αντίστοιχα πρόστιμα που αυτή έχει επιβάλλει ως τώρα, αφετέρου στις αποφάσεις του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) σχετικά με το εν λόγω θέμα.

Πρέπει εδώ να γίνει μια σύντομη παράθεση για το εν λόγω Δικαστήριο και γιατί μας ενδιαφέρουν και μας επηρεάζουν οι αποφάσεις του. Συγκεκριμένα, το ΕΔΔΑ, εξετάζει προσφυγές σχετικές με τα Ανθρώπινα Δικαιώματα -όπως αυτά προβλέπονται και ορίζονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου- και το κατά πόσο τα δικαιώματα αυτά τηρούνται και προστατεύονται από τα Κράτη-μέλη.

Οι αποφάσεις του είναι μεν δεσμευτικές για τα εθνικά κράτη, όμως δεν υπάρχει μηχανισμός επιβολής τους. Η αρνητική ωστόσο δημοσιότητα που προκαλούν οι αποφάσεις του για κάθε Κράτος-μέλος κάθε φορά, καθώς και η βεβαιότητα ότι, αν δικαιώθηκε ένας προσφεύγων, θα δικαιωθούν και όλοι οι άλλοι που θα προσφύγουν στο μέλλον για το ίδιο θέμα, αρκούν συνήθως, ώστε το κράτος-μέλος να τροποποιήσει τη σχετική νομοθεσία ή την κρίση επί των ζητημάτων που άπτονται της ερμηνείας/εφαρμογής της νομοθεσίας αυτής και να παύσει την προσβολή. Επίσης, το ΕΔΔΑ έχει τη δυνατότητα να επιδικάσει χρηματική αποζημίωση στον πολίτη που προσέφυγε κατά του συγκεκριμένου κράτους-μέλους και δικαιώθηκε. Εξυπακούεται φυσικά ότι οι αποφάσεις του ΕΔΔΑ θα πρέπει να γίνονται σεβαστές καθώς και να τυγχάνουν εφαρμογής από όλα τα κράτη-μέλη).

Ως προς τις αποφάσεις της Αρχής, ιδιαίτερο ενδιαφέρον έχουν κυρίως οι (πρόσφατες) αποφάσεις 20/2017 και 41/2018. Και στις δύο περιπτώσεις, η Αρχή, μετά από καταγγελία εργαζομένων επέβαλλε πρόστιμα αξίας 10.000€ και 50.000€ σε μια εταιρεία μελετών και μια δικηγορική εταιρεία αντίστοιχα.

Κοινό χαρακτηριστικό και στις δύο περιπτώσεις ήταν ότι αμφότερες οι εταιρείες είχαν:

α) εγκαταστήσει κάμερες εντός των χώρων που βρίσκονταν τα γραφεία των εργαζομένων και

β) ότι χρησιμοποίησαν το υλικό αυτό για να καταγράφουν (μεταξύ άλλων) και το πόσο αποδοτικοί ήταν οι εργαζόμενοι.

Μάλιστα, και οι δύο εταιρείες προέβαλαν ως επιχείρημα ότι αναγκάστηκαν να τοποθετήσουν το σύστημα παρακολούθησης επειδή είχαν στους χώρους εργασίας τους αντικείμενα μεγάλης αξίας, χωρίς ωστόσο να αλλάξουν τη γνώμη της Αρχής, η οποία αντέτεινε ότι η ασφάλεια και η φύλαξή τους θα μπορούσε να επιτευχθεί κάλλιστα με λιγότερο επαχθή για τους εργαζόμενους μέτρα όπως με τοποθέτηση  καμερών μόνο στην είσοδο/έξοδο του κτιρίου, χωρίς να είναι απαραίτητη η συνεχής παρακολούθηση των τελευταίων, η οποία και αποτελεί φυσικά ανεπίτρεπτη παραβίαση των δικαιωμάτων τους.

Αυτό που έχει όμως ακόμα μεγαλύτερο ενδιαφέρον είναι οι πρόσφατες αποφάσεις του Ευρωπαϊκού Δικαστηρίου (ΕΔΔΑ) γύρω από αυτό το θέμα και συγκεκριμένα οι αποφάσεις: Άντοβιτς και Μίρκοβιτς εναντίον Μαυροβουνίου (2017) και Λόπεζ Ριμπάλντα και λοιποί εναντίον Ισπανίας (2018) (Μέσα από το κείμενο των αποφάσεων αυτών, το Ευρωπαϊκό Δικαστήριο έκανε πλέον απόλυτα εμφανή και αδιαμφισβήτητο τον σεβασμό που πρέπει να επιδεικνύουν τόσο τα κράτη-μέλη όσο και οι ιδιώτες/εργοδότες στην ιδιωτικότητα κάθε πολίτη/εργαζομένου, και δη στους χώρους εργασίας.

Συγκεκριμένα, στην πρώτη απόφαση, το ΕΔΔΑ δικαίωσε δύο καθηγητές Πανεπιστημίου (Άντοβιτς και Μίρκοβιτς), οι οποίοι προσέφυγαν σε αυτό επειδή οι αρχές του Πανεπιστημίου στο οποίο εργάζονταν, είχαν εγκαταστήσει κάμερες εντός των αμφιθεάτρων, με το σκεπτικό ότι τα αμφιθέατρα είναι δημόσιοι χώροι και ότι έπρεπε να εποπτεύεται η ασφάλειά τους. Το Ευρωπαϊκό Δικαστήριο όμως επεσήμανε ότι άσχετα με το αν τα αμφιθέατρα ήταν δημόσιοι χώροι ή όχι, η διαρκής παρακολούθηση εργαζομένων κατά την άσκηση του επαγγέλματός τους συνιστά υπέρμετρη παραβίαση του δικαιώματος στην ιδιωτική ζωή και ως εκ τούτου δεν μπορεί να  γίνει επιτρεπτή.

Επίσης έντονο ενδιαφέρον έχει και η δεύτερη υπόθεση στην οποία κλήθηκε να απαντήσει το ΕΔΔΑ. Συγκεκριμένα, έγινε προσφυγή εργαζομένων οι οποίοι εργάζονταν ως ταμίες σε μεγάλη αλυσίδα σουπερμάρκετ της Ισπανίας και οι οποίοι υποστήριξαν, μεταξύ άλλων, ότι ο εργοδότης τους είχε εγκαταστήσει για λόγους ασφαλείας κάμερες για να εποπτεύει το ταμείο καθενός, με αποτέλεσμα να παρακολουθεί αναπόφευκτα και τους ίδιους κατά τις ώρες εργασίας τους  και μάλιστα χωρίς να τους έχει ενημερώσει πρώτα.

Το Ευρωπαϊκό Δικαστήριο επίσης απάντησε ότι και αυτό συνιστά υπέρμετρη προσβολή του δικαιώματός τους και ότι ακόμα κι αν ήθελε γίνει δεκτό το γεγονός ότι το ποσό στα ταμεία ήταν μεγάλης αξίας και χρειαζόταν συνεχή φύλαξη, ο εργοδότης όφειλε να βρει άλλα μέσα για να το επιτύχει και όχι φυσικά να βιντεοσκοπεί (έστω και παρεμπιπτόντως) τους εργαζόμενους.

Πρέπει ωστόσο να επισημανθεί ότι η συγκεκριμένη κρίση του ΕΔΔΑ δεν είναι ακόμη οριστική, καθώς εκκρεμεί η εκδίκασή της ενώπιον της Μείζονος Συνθέσεως του Δικαστηρίου (αντίστοιχα όπως στο εθνικό δικαστικό σύστημα τμήματα του Αρείου Πάγου παραπέμπουν υποθέσεις στην Ολομέλεια).

Τέλος, αξίζει επίσης να αναφερθούν και οι αποφάσεις Κόπλαντ εναντίον Μ.Βρετανίας (2007) και Μπαρμπουλέσκου εναντίον Ρουμανίας (2017) με τις οποίες το ΕΔΔΑ έκρινε ότι επίσης παραβιάζει το δικαίωμα στην ιδιωτική ζωή (πέρα από την βιντεοσκόπηση) και η παρακολούθηση από τον εργοδότη των e-mail, των τηλεφωνικών κλήσεων ή των ιστοσελίδων στις οποίες μπαίνουν οι εργαζόμενοι κατά τις ώρες εργασίας τους, δικαιώνοντας τους τελευταίους που προσέφυγαν σε αυτό. (βλ. και εδώ για εκτενέστερη ανάλυση όλων των ανωτέρω αποφάσεων).

ΠΟΡΙΣΜΑ – ΣΥΜΠΕΡΑΣΜΑΤΑ

Και ενώ λοιπόν από νομικής πλευράς είναι απόλυτα σαφές ότι η παρακολούθηση των εργαζομένων στους χώρους εργασίας τους αποτελεί (με ελάχιστες και πολύ ειδικές εξαιρέσεις) παράνομη πρακτική και μη θεμιτή με την έννομη τάξη, επισύροντας μάλιστα τόσο βαριές κυρώσεις, δημιουργείται εύλογα το ερώτημα για ποιόν λόγο συνεχίζει να υφίσταται ως φαινόμενο τόσο έντονα και συχνά στην κοινωνία.

Η απάντηση είναι φυσικά αφενός λόγω της άγνοιας που οι περισσότεροι εργαζόμενοι/εργοδότες έχουν γύρω από το θέμα, αφετέρου λόγω του δικαιολογημένου φόβου που επίσης υπάρχει στους περισσότερους εργαζόμενους, εξ αιτίας του κινδύνου να απολυθούν εάν αποφασίσουν να καταγγείλουν αυτά τα φαινόμενα.

Ως προς το δεύτερο ειδικά, αξίζει να επισημανθεί ότι η απόλυση (ή και οποιαδήποτε άλλη επιβαρυντική εργασιακή εξέλιξη εις βάρος του εργαζόμενου) που γίνεται για ένα τέτοιο λόγο (επειδή δηλαδή ο εργαζόμενος αποφάσισε να ασκήσει τα δικαιώματά του όπως αυτά αναλύθηκαν ανωτέρω) είναι απολύτως παράνομη και άρα άκυρη (ως καταχρηστική) με αποτέλεσμα ο εργαζόμενος να μπορεί να διεκδικήσει όλα τα δικαιώματα που του παρέχει ο νόμος σε αυτή την περίπτωση. Πέραν αυτού φυσικά, πρέπει να τονιστεί ότι και η συγκατάθεση του εργαζόμενου στην καταγραφή του υπό τον ανωτέρω φόβο, δεν μπορεί να θεωρηθεί έγκυρη.

Τέλος, δεν μπορεί φυσικά να μην σχολιαστεί και το γεγονός ότι αρκετοί εργοδότες τοποθετούν κάμερες, οι οποίες ωστόσο δεν καταγράφουν, αλλά απλώς έχουν τεθεί για να εκφοβίζουν τους εργαζόμενους, οι οποίοι και αγνοούν το κατά πόσο είναι λειτουργικές ή όχι. Και σε αυτή την περίπτωση, η πρακτική αυτή των εργοδοτών είναι απολύτως παράνομη και θα πρέπει να καταγγέλλεται από τους εργαζόμενους όπως ακριβώς και η κανονική βιντεοσκόπηση.

Η Homo Digitalis καταβάλει κάθε δυνατή προσπάθεια προκειμένου να ευαισθητοποιήσει και να ενημερώσει το κοινό σχετικά με τα δικαιώματα και τις υποχρεώσεις όλων γύρω από αυτό το καίριο θέμα, προκειμένου αφενός να γίνει ξεκάθαρο ότι αντίστοιχα φαινόμενα παρακολούθησης σε χώρους εργασίας δεν θα πρέπει να γίνονται ανεκτά από κανέναν και αφετέρου για να αυξηθούν οι σχετικοί έλεγχοι των εποπτικών αρχών πάνω σε εταιρίες και εργοδότες που παραβιάζουν τη νομοθεσία με ταυτόχρονη φυσικά μείωση οποιασδήποτε γραφειοκρατίας/βραδυπορίας του κρατικού μηχανισμού γύρω από την αντιμετώπισή τους.

ΤΙ ΜΠΟΡΕΙΤΕ ΝΑ ΚΑΝΕΤΕ ΕΑΝ ΥΠΑΡΧΕΙ ΠΑΡΑΝΟΜΗ ΚΑΤΑΓΡΑΦΗ ΕΙΚΟΝΑΣ Η’/ΚΑΙ ΗΧΟΥ ΣΤΟΝ ΧΩΡΟ ΕΡΓΑΣΙΑΣ ΣΑΣ

Ως προς τα διοικητικά πρόστιμα της Αρχής Π.Δ.Π.Χ.

Η προϋπόθεση που έχει θέσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προκειμένου να επιληφθεί ενός τέτοιου περιστατικού είναι να γίνει αρχικά μια επώνυμη καταγγελία στην ίδια την Αρχή προκειμένου να λάβει η τελευταία γνώση.

Για να ξεκινήσει η έρευνα, η Αρχή απαιτεί να έχει πρώτα κοινοποιηθεί εγγράφως στον εκάστοτε εργοδότη ένα κείμενο μέσα το οποίο θα πρέπει να εκτίθενται όλοι οι προβληματισμοί του εργαζόμενου σχετικά με την παρακολούθησή του εν ώρα εργασίας (ενδεικτικά θα μπορεί να ερωτάται: για ποιο λόγο κρίνεται απαραίτητη η παρακολούθηση, γιατί δεν προτιμούνται άλλα (ηπιότερα) μέσα, γιατί η καταγραφή δεν περιορίζεται στην είσοδο/έξοδο του κτηρίου, ποιοι ακριβώς χώροι βιντεοσκοπούνται, ποιες/πόσες ώρες γίνεται η καταγραφή, ποιος διαχειρίζεται τα δεδομένα που προκύπτουν από την παρακολούθηση, ποιος άλλος έχει πρόσβαση στα δεδομένα αυτά, για πόσο διατηρούνται αυτά τα δεδομένα, γιατί δεν ενημερώθηκαν οι εργαζόμενοι, δείγμα από την καταγραφή που έχει ήδη γίνει κτλ, καθώς και να δηλώνονται οι αιτιολογημένες αντιρρήσεις των εργαζομένων).

Δεν προσδιορίζεται ωστόσο η ακριβής μορφή του κειμένου, οπότε θα πρέπει να θεωρηθεί δόκιμη και η αποστολή του με email, ταχυδρομικώς, με SMS, ή και απλώς η παράδοση χειρογράφου. Καλό είναι όμως να κρατάτε πάντα αποδεικτικά/αντίγραφα σε περίπτωση που χρειαστούν.

Εφόσον ο εργοδότης δεν απαντήσει εντός 30 ημερών ή η απάντησή του δεν κρίνεται ικανοποιητική από τον εργαζόμενο, μπορεί εν συνεχεία να γίνει καταγγελία στην Αρχή. Φόρμες καταγγελίας μπορείτε να βρείτε έτοιμες στην ιστοσελίδα της Αρχής τις οποίες μπορείτε να καταθέσετε εν συνεχεία με όλους τους τρόπους, ταχυδρομικώς, ηλεκτρονικά ή αυτοπροσώπως στα γραφεία της Αρχής (Λ. Κηφισίας 1-3, 1ος όροφος).

Τέλος, εφόσον η Αρχή επιληφθεί της υποθέσεως και διαπιστώσει ότι υπάρχει παραβίαση της Νομοθεσίας, έχει την δυνατότητα να επιβάλλει πρόστιμο στον εργοδότη, με το ύψος αυτού να ποικίλει ανάλογα με το βαθμό της βαρύτητας της παράβασης, το δόλο ή την αμέλειά του, προηγούμενες παραβάσεις του, την πρόθεσή του να επανορθώσει κ.α.

Επίσης, επειδή οι καταγγελίες είναι πάντα επώνυμες, η ίδια η Αρχή στην επίσημη ιστοσελίδα ενημερώνει ότι υπάρχει η επιλογή, πέρα από τον ίδιο τον εργαζόμενο, η καταγγελία να γίνεται και από κάποιο συλλογικό όργανο (πχ εργατικά σωματεία, εθελοντικές οργανώσεις, μη-κερδοσκοπικές οργανώσεις κτλ) στο οποίο και θα αναθέσετε αυτή την ενέργεια.

Σημειώνεται ωστόσο ότι κατά την προσωπική και επιστημονική γνώμη του γράφοντος, ειδικά για την παρακολούθηση σε χώρους εργασίας, αφενός και δεν θα πρέπει να θεωρείται απαραίτητη η προηγούμενη ενημέρωση/αίτηση στον εργοδότη, καθώς τοποθετεί τον εργαζόμενο σε μια αρκετά δυσχερή θέση, αφετέρου ότι όπως η Επιθεώρηση Εργασίας, το ΣΔΟΕ και τα κλιμάκια του ΙΚΑ διενεργούν (περισσότερους) απροειδοποίητους τυχαίους ελέγχους σε χώρους εργασίας, την ίδια –αποτελεσματική- τακτική θα πρέπει να αρχίσει να ακολουθεί και η Αρχή Π.Δ.Π.Χ., εάν θέλουμε να εκλείψουν οριστικά τέτοια φαινόμενα.

Εξάλλου, όπως απαγορεύεται ρητά η ανασφάλιστη εργασία, ακόμα κι αν συναινεί σε αυτήν ο ίδιος ο εργαζόμενος, αντίστοιχα θα πρέπει να θεωρείται μη νόμιμη και η καταγραφή του εν ώρα εργασίας, ακόμη κι αν έχει συναινέσει σε αυτό, μιας και με αυτό τον τρόπο, αφενός προσβάλλεται ο ίδιος ο πυρήνας του δικαιώματος στην εργασία εν γένει και επομένως όχι μόνο το ιδιωτικό συμφέρον του συγκεκριμένου εργαζομένου που παρακολουθείται, καθώς τοποθετεί τον εργαζόμενο που θα εγείρει αντιρρήσεις στην παρακολούθηση σε σαφώς μειονεκτικότερη θέση από τους υπόλοιπους που σιωπούν, αφετέρου, δεν θα μπορεί σχεδόν ποτέ να διακριβωθεί με σιγουριά εάν η συναίνεση είναι πραγματική ή προϊόν απειλής ή ψυχολογικής πίεσης.

Αστική αποζημίωση

Σημειώνεται ότι τα πρόστιμα που μπορεί να επιβάλει η ΑΠΔΠΧ είναι διοικητικά κι ως εκ τούτου έχουν να κάνουν αποκλειστικά με τον εργοδότη και το Κράτος. Συνεπώς, εάν κάποιο φυσικό πρόσωπο/εργαζόμενος επιθυμεί να αποζημιωθεί θα πρέπει να καταφύγει στα Πολιτικά Δικαστήρια με αγωγή, με τη συνδρομή ωστόσο κάποιου συνηγόρου.

Επίσης, αξίζει να επισημανθεί ότι η αστική αποζημίωση σε αυτή την περίπτωση είναι ανεξάρτητη/αδιάφορη με το αν έχει ο εργαζόμενος απευθυνθεί στην ΑΠΔΠΧ ή όχι και μάλιστα ο Νόμος προστατεύει κάθε άτομο που υπέστη περιουσιακή ή ηθική βλάβη από παράνομη επεξεργασία των προσωπικών δεδομένων του (όπως εν προκειμένω τον εργαζόμενο), με ελάχιστο ποσό ως αποζημίωση τα 5.869,40€ (αρ.23 Ν.2472/1997 – βλ. 4196/11 ΠΠΑθ, 3428/16 ΜΠΑθ, 415/16 ΕιρΑθ). Ωστόσο, αναμφίβολα, μια πιθανή βεβαίωση της παράβασης και από την ΑΠΔΠΧ θα ενίσχυε έτι περαιτέρω τους ισχυρισμούς οποιουδήποτε εργαζομένου στην δίκη αποζημίωσης.

Ποινική Ευθύνη

Σε αρκετές περιπτώσεις ενδέχεται η παράνομη συμπεριφορά του εργοδότη να καταγράφει τους χώρους εργασίας να αποτελεί, πέραν των άλλων, και ποινικό αδίκημα. Σε αυτές τις περιπτώσεις ο εκάστοτε ζημιωθείς/εργαζόμενος έχει το δικαίωμα να υποβάλλει έγκληση στον αρμόδιο Εισαγγελέα με σκοπό την ποινική καταδίκη του υπευθύνου και φυσικά να λάβει και ο ίδιος ο εργαζόμενος κανονικά μέρος στη δίκη ως πολιτικώς ενάγων.

Πάντα ωστόσο σε αυτές τις περιπτώσεις, λόγω και των σοβαρότατων συνεπειών που επιφέρουν, κρίνεται καλύτερο πριν ο ζημιωθείς προβεί στην έγκληση, να αναζητεί τη βοήθεια/συνδρομή κάποιου εξειδικευμένου νομικού.

Για εκτενέστερη ενημέρωση και καθοδήγηση πάνω στο θέμα μπορείτε να απευθυνθείτε στη Homo Digitalis.

*Ο Μιχάλης Δρακουλάκης είναι δικηγόρος με ειδίκευση στο Δίκαιο των Προσωπικών Δεδομένων καθώς και στο Δίκαιο Νέων Τεχνολογιών και νέων μορφών συμβάσεων της σύγχρονης οικονομίας, ενώ έχει ευρύτερη ερευνητική και επαγγελματική ενασχόληση γενικότερα με το Αστικό, Εμπορικό και Εργατικό Δίκαιο.

Γράφει ο Βύρωνας Καβαλίνης

Πριν λίγες ημέρες βγήκε στην επιφάνεια ένα κενό ασφαλείας της γνωστής εφαρμογής WhatsApp, το οποίο επιτρέπει την εγκατάσταση spyware στο κινητό του χρήστη με σκοπό την υποκλοπή προσωπικών δεδομένων με μια απλή κλήση.

Για την εγκατάσταση δεν είναι απαραίτητη η αποδοχή της κλήσης. Μάλιστα, η κλήση αυτή δεν εμφανίζεται στο ιστορικό της συσκευής. Σε ανακοίνωση του το WhatsApp δεν κατονόμασε τον υπεύθυνο για αυτή την ενέργεια, αλλά έδωσε στοιχεία σύμφωνα με τα οποία πίσω από αυτή την ενέργεια βρίσκεται εταιρία δημιουργίας λογισμικού υποκλοπής δεδομένων, που συνεργάζεται με κυβερνήσεις.

Τόσο η Αρχή Προστασιας Προσωπικών Δεδομένων της Ιρλανδίας, όσο και η Αρχή Προστασίας Δεδομένων Προσωπικου Χαρακτηρα της Ελλάδας έχουν προβεί σε σχετικές ανακοινώσεις επι του θέματος.

Το WhatsApp προσφέρει ήδη κρυπτογραφημένη επικοινωνία στους 1.5 δισεκατομμύριο χρήστες του. Η ανακάλυψη του κενού ασφαλείας έγινε αρχές Μαϊου και το patch που το διορθώνει κυκλοφόρησε την Δευτέρα.

Επίσης, εκτός από το update των εφαρμογών, τόσο για Android όσο και iPhone, όπως ανακοίνωσε το WhatsApp γίνονται και αναβαθμίσεις σε επίπεδο υποδομών. Το συγκεκριμένο κενό ασφαλείας επηρεάζει όλους τους χρήστες του WhatsApp είτε χρησιμοποιούν Android είτε iPhone.

Σαφώς, αυτό δε συνεπάγεται ότι έχουν επηρεαστεί όλοι οι χρήστες της εφαρμογής. Η ίδια η εταιρία δεν έχει δώσει στοιχεία σχετικά με τον αριθμό ή την ταυτότητα των χρηστών που έχουν μολυνθεί.

Πώς λειτουργεί το κενό ασφαλείας

Σύμφωνα με το κέντρο ασφαλείας της Facebook (στην οποία ανήκει το WhatsApp) η συγκεκριμένη ευπάθεια προήλθε από ένα τύπο σφάλματος γνωστό ως υπερχείλιση buffer. Οι εφαρμογές χρησιμοποιούν ένα buffer για να αποθηκεύουν επιπλέον δεδομένα.

Στο buffer αποθηκεύονται προσωρινά δεδομένα. Κατά τη διάρκεια της επίθεσης, στρατηγικά γίνεται υπερχείλιση του buffer, αναγκάζοντας τα δεδομένα να “υπερπηδούν” σε άλλα μέρη της μνήμης. Αυτό μπορεί να προκαλέσει προβλήματα στην λειτουργία της εφαρμογής ή να δώσει στους επιτιθέμενους ένα τρόπο για να αποκτήσουν πρόσβαση στη συσκευή.

Στην περίπτωση του WhatsApp λοιπόν, οι επιτιθέμενοι εκμεταλλεύτηκαν το γεγονός ότι σε μια κλήση VoIP το σύστημα πρέπει να προετοιμαστεί για μια σειρά από ενέργειες: απόρριψη κλήσης, αποδοχή κτλ.

Πώς μπορείτε να προστατευθείτε

Όπως αναφέραμε και πιο πάνω δεν έχουν δοθεί πληροφορίες για τον αριθμό των χρηστών που έχουν μολυνθεί και επηρεαστεί από αυτό το κενό ασφαλείας. Πιθανόν αν δεν έχετε δεχτεί κάποια περίεργη κλήση να μην υπάρχει κάποιο πρόβλημα. Σε κάθε περίπτωση, πρέπει να αναβαθμίσετε την εφαρμογή του WhatsApp της συσκευής σας, ανεξάρτητα αν έχετε Android ή iPhone ή Windows Phone ή ακόμα και desktop, στην τελευταία έκδοση της.

Μπορείτε να δείτε την τελευταία έκδοση της εφαρμογής που έχει επίσημα κυκλοφορήσει στον παρακάτω σύνδεσμο: https://www.whatsapp.com/download/ Επιλέγοντας το λειτουργικό του smartphone σας σας εμφανίζει την έκδοση που μπορείτε να κατεβάσετε. Για να επιβεβαιώσετε ότι την έχετε ήδη εγκαταστήσει στη συσκευή σας μπορείτε να πατήσετε πάνω στο εικονίδιο της στο κινητό σας και να επιλέξετε “Πληροφορίες εφαρμογής”:

 

 

Αναβάθμιση εφαρμογής σε Android:

1. Ανοίξτε το Play Store στο κινητό σας
2. Πατήστε τις τρεις οριζόντιες γραμμές που βρίσκονται πάνω αριστερά
3. Επιλέξτε “Οι εφαρμογές/παιχνίδια μου”
4. Πατήστε στην εφαρμογή WhatsApp
5. Πατήστε το κουμπί “Ενημέρωση”

 

 

Αναβάθμιση εφαρμογής σε iPhone (iOS):

1. Ανοίξτε το AppStore στο κινητό σας
2. Πατήστε την επιλογή “Αναβαθμίσεις” που βρίσκεται στην κάτω πλευρά της οθόνης
3. Στις αναβαθμίσεις που είναι διαθέσιμες πατήστε το WhatsApp
4. Πατήστε το κουμπί “Αναβάθμιση”

 

 

Προτείνουμε εκτός από την εφαρμογή να έχετε αναβαθμισμένο και το λειτουργικό της συσκευής σας στην τελευταία έκδοση όπως και να έχετε εγκαταστήσει όλες τις ενημερώσεις ασφαλείας που έχουν κυκλοφορήσει στον υπολογιστή/laptop σας.

Η Homo Digitalis θα σας ενημερώσει αν υπάρξουν περισσότερες εξελίξεις.

Του Ευάγγελου Φαρμακίδη*

Μόλις έχει τελειώσει το τελευταίο επεισόδιο της καινούριας σεζόν της αγαπημένης μας σειράς του Netflix και έχουμε αποφασίσει να βγούμε για μια βόλτα. Πριν κλείσουμε την τηλεόραση για να ετοιμαστούμε, μια άλλη σειρά κεντρίζει το ενδιαφέρον μας. Εμφανίστηκε στα προτεινόμενα και τυχαίνει να είναι το είδος της σειράς που μας αρέσει. Μετά από μια γρήγορη ματιά αποφασίζουμε να δούμε μόνο το Trailer για να σιγουρευτούμε ότι είναι της αρεσκείας μας.

Πράγματι είναι! Η έξοδος ακυρώνεται και ένας νέος μαραθώνιος επεισοδίων (Binge-Watching) ξεκινά.

Πόσο ελεύθερες είναι άραγε οι επιλογές μας στην εποχή των Big Data;

Θέλαμε πράγματι να μείνουμε σπίτι και να δούμε μια νέα σειρά ή θέλαμε να βγούμε για μια βόλτα;

Μήπως με κάποιον έντεχνο τρόπο η βούλησή μας επηρεάζεται σημαντικά και οι αποφάσεις μας καθοδηγούνται;

Στα παραπάνω ερωτήματα θα προσπαθήσουμε να δώσουμε μια σύντομη, απλή και κατανοητή απάντηση.

Η επιλογή του παραδείγματος του Netflix δεν είναι ασφαλώς τυχαία. Όπως δεν είναι τυχαία και η εμφάνιση της νέας προτεινόμενης ενδιαφέρουσας σειράς στην οθόνη της τηλεόρασής μας.

To Netflix σήμερα αριθμεί περί τους 137 εκατομμύρια συνδρομητές σε 190 χώρες και οφείλει μεγάλο μέρος της επιτυχίας του στα Big Data. Η ανάλυση δεδομένων είναι μια πρακτική που η εταιρία εφάρμοσε από τα πρώτα χρόνια της ίδρυσής της, όταν η υπηρεσία Streaming δεν ήταν διαθέσιμη και το Netflix εξυπηρετούσε τους πελάτες του αποκλειστικά με την αποστολή DVDs στο σπίτι μέσω του ταχυδρομείου. Μελετώντας τις προτιμήσεις άλλων πελατών του, τους πρότεινε ταινίες που πιθανόν να τους ενδιέφεραν.

Με την πρακτική αυτή θέλησε να αυξήσει τα έσοδά του και ταυτόχρονα να αντιμετωπίσει το πρόβλημα που ανέκυπτε κάθε φορά που μια ταινία βραβευόταν με Όσκαρ ή κάποιος διάσημος κριτικός ταινιών έγραφε μια διθυραμβική κριτική για μια ταινία: η ζήτηση της συγκεκριμένης ταινίας αυξανόταν κατακόρυφα με αποτέλεσμα αφενός το Netflix να μην μπορεί να εξυπηρετήσει την αυξημένη ζήτηση και αφετέρου οι παλαιότερες ταινίες να μένουν στα αζήτητα με αποτέλεσμα η εταιρία να χάνει περισσότερα έσοδα.

Έπρεπε λοιπόν να βρεθεί ένας τρόπος, ώστε να στρέψει τους πελάτες του σε λιγότερο διάσημες ή παλαιότερες ταινίες. Για τον λόγο αυτό ανέπτυξε έναν αλγόριθμο πρόβλεψης, ο οποίος ονομάστηκε Cinematch, για να προτείνει στους χρήστες του νέες ταινίες με βάση τις προτιμήσεις των άλλων χρηστών.

Αργότερα, τον Οκτώβριο του 2006, θέλοντας να βελτιώσει την απόδοση του αλγορίθμου, προκήρυξε έναν ανοιχτό διαγωνισμό, το Netflix Prize. Η ομάδα που θα κατάφερνε να βελτιώσει σε ικανοποιητικό βαθμό τα αποτελέσματα του αλγορίθμου θα κέρδιζε χρηματικό έπαθλο ενός εκατομμυρίου δολαρίων. Στον διαγωνισμό, ο οποίος τράβηξε το ενδιαφέρον ολόκληρης της παγκόσμιας κοινότητας, συμμετείχαν περισσότερες από 40.000 ομάδες ειδικών (στους τομείς των μαθηματικών, της στατιστικής, της πληροφορικής κ.α.) από 183 διαφορετικές χώρες του κόσμου. Για τον σκοπό αυτό δόθηκε στους ερευνητές πρόσβαση σε αξιολογήσεις και κριτικές 500.000 χρηστών του Netflix.

Χρειάστηκαν τρία ολόκληρα χρόνια για να επιτευχθεί το επιθυμητό αποτέλεσμα και το βραβείο τελικά δόθηκε στις 21 Σεπτεμβρίου 2009. Ο αλγόριθμος που κέρδισε ήταν αποτέλεσμα κοινοπραξίας 4 ομάδων υπό την ονομασία BellKor’s Pragmatic Chaos και βελτίωνε τα αποτελέσματα του υπάρχοντος αλγορίθμου κατά 10.06%. Το αποτέλεσμα είναι σήμερα να λαμβάνουμε προτάσεις, οι οποίες ξεπερνούν σε ποσοστό επιτυχίας το 85%.

Κρατώντας μας απασχολημένους με συνεχόμενη ροή προτάσεων, το Netflix καταφέρνει κάθε μήνα να ανανεώνουμε τη συνδρομή μας. Αν δεν υπήρχαν οι προτάσεις αυτές, είναι πιθανό ότι μετά το τέλος της τελευταίας σεζόν της αγαπημένης μας σειράς, θα ακυρώναμε τη συνδρομή μας, τουλάχιστον μέχρις ότου κυκλοφορήσει η νέα σεζόν της αγαπημένης μας σειράς.

Ένα χαρακτηριστικό παράδειγμα της προσωποποιημένης εμπορικής πρακτικής του Netflix είναι το ακόλουθο: Για την προώθηση της -ίσως πιο διάσημης- σειράς του, που ανέδειξε και καθιέρωσε την εταιρία, το House of Cards, γυρίστηκαν διαφορετικά trailers με διαφορετικές εκδοχές της ίδιας σειράς, που όμως απευθύνονταν σε διαφορετικές ομάδες κοινού, ανάλογα με τις προτιμήσεις τους. Έτσι, στα προτεινόμενα κάθε “ομάδας” εμφανιζόταν διαφορετικό trailer για την ίδια ακριβώς σειρά, ανάλογα με το ιστορικό των προτιμήσεών τους. Για παράδειγμα, οι φίλοι των δραματικών ταινιών έβλεπαν μια πιο δραματική εκδοχή της σειράς, ενώ αντίστοιχα οι φίλοι των περιπετειών μια πιο περιπετειώδη εκδοχή της κ.ο.κ..

Το Netflix σήμερα συλλέγει διάφορα δεδομένα των χρηστών του, όπως η ηλικία, το φύλο, η γεωγραφική θέση, πληροφορίες σχετικά με τον υπολογιστή τους ή άλλες συσκευές που χρησιμοποιούν για την πρόσβαση στην υπηρεσία, τα προγράμματα που παρακολούθησαν από την ημέρα της εγγραφής τους, οι ημέρες και οι ώρες που συνδέονται, το ιστορικό των αναζητήσεών τους, ακόμα και τον τρόπο με τον οποίο έκαναν scroll κατά την περιήγησή τους. Καταγράφει ακόμα κάθε πότε κάνουν παύση, πηγαίνουν πίσω για να ξαναδούν μια σκηνή ή πότε περνούν με fast play μια βαρετή σκηνή.

Στην επιστήμη σήμερα δεν υπάρχει ένας οικουμενικά αποδεκτός ορισμός για τα Big Data. Μπορούμε όμως να πούμε ότι ως “Μεγάλα Δεδομένα” ορίζονται τα δεδομένα, ανεξαρτήτως είδους, που συγκεντρώνουν τα εξής βασικά χαρακτηριστικά: υπερβολικά μεγάλο όγκο (volume), μεγάλη ποικιλία (variety) και υψηλή ταχύτητα συλλογής – ακόμη και σε πραγματικό χρόνο – από πολλαπλές πηγές (velocity).

Data mining ή εξόρυξη δεδομένων είναι η διαδικασία μέσω της οποίας αποκτά κανείς χρήσιμες πληροφορίες μέσα από την κατάλληλη επεξεργασία των «ακατέργαστων», αταξινόμητων, πολύπλοκων και με μεγάλο όγκο δεδομένων, τα οποία προηγουμένως έχουν συλλεχθεί και βρίσκονται σε τεράστιες και αχανείς βάσεις.

Οι πληροφορίες που εξορύσσονται από τα δεδομένα είναι ένα πανίσχυρο “όπλο” στα χέρια των Marketers, οι οποίοι τις χρησιμοποιούν για την προώθηση των προϊόντων ή ακόμα και για τη σχεδίαση νέων.

Τα δεδομένα σήμερα, στην εποχή της 4ης Βιομηχανικής Επανάστασης, έχουν την ίδια αξία με αυτή που είχε το πετρέλαιο για τη 2η Βιομηχανική Επανάσταση και ο ατμός για την 1η (The world’s most valuable resource is no longer oil, but data, The Economist, 2017).

Με τον παραπάνω τρόπο, το Netflix γνωρίζει ποια από τα προγράμματά του πρέπει να μας προτείνει, αλλά επιπλέον στηρίζει και την παραγωγή των νέων προγραμμάτων του στις προτιμήσεις και τις συνήθειες των χρηστών του. Γνωρίζοντας με ακρίβεια τί προτιμούν οι χρήστες του, παράγει προγράμματα που είναι σχεδόν βέβαιο ότι θα γίνουν επιτυχίες, πριν καν γυριστούν.

Η χρήση των μεθόδων αυτών εμπορικής προώθησης σε καμία περίπτωση δεν είναι κατακριτέα, ούτε φυσικά είναι πρόθεση του γράφοντος να ξορκίσει τα Big Data, τα οποία αποδεικνύονται πολύ χρήσιμα σε πολλούς τομείς της ζωής μας και πέρα από την εμπορική δραστηριότητα, όπως για παράδειγμα στην Ιατρική Επιστήμη.

Αντίθετα, τα οφέλη για τον ενημερωμένο καταναλωτή είναι πολλαπλά, καθώς του παρέχεται η ευκαιρία να κάνει σωστές επιλογές, οι οποίες θα είναι της αρεσκείας του και θα καλύπτουν τις ανάγκες του, ενώ ταυτόχρονα εξοικονομεί χρόνο και χρήματα.

Η Ευρωπαϊκή Ένωση αναγνώρισε ήδη από τα μέσα της δεκαετίας του ‘90 την αξία των προσωπικών δεδομένων και θέσπισε ένα ειδικό νομοθετικό πλαίσιο, προκειμένου από τη μια να διευκολύνει την ελεύθερη ροή τους και από την άλλη να προστατεύσει τους κατοίκους των χωρών μελών της. Τελευταία μεγάλη σχετική νομοθετική πρωτοβουλία της είναι η ψήφιση του Γενικού Κανονισμού Προστασίας Δεδομένων ή ευρύτερα γνωστού ως GDPR. Σημειωτέον ότι αναμένεται ο νέος Κανονισμός ePrivacy, που θα αφορά, μεταξύ άλλων, και την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες.

Η σημασία των μεγάλων δεδομένων για τις σύγχρονες οικονομίες και την επιστήμη του Marketing είναι αδιαμφισβήτητη. Άλλωστε, όπως πολύ εύστοχα έχει επισημάνει ο Dan Zarrella “Marketing without data is like driving a car with your eyes closed”.

Οι καταναλωτές όμως θα πρέπει να είναι ενημερωμένοι, ώστε οι πρακτικές αυτές να λειτουργούν προς όφελός τους και όχι επηρεάζοντας τη βούλησή τους, χειραγωγώντας τις αποφάσεις τους και καθορίζοντας τον τρόπο ζωής τους.

Bιβλιογραφία

• Mareike Jenner, (2018), Netflix and the Re-invention of Television. Palgrave Macmillan.
• Pant V., Yu E., (2018), Conceptual Modeling to Support the “Larger Goal” Pivot – An Example from Netflix. In: Buchmann R., Karagiannis D., Kirikova M. (eds) The Practice of Enterprise Modeling. PoEM 2018. Lecture Notes in Business Information Processing, vol 335. Springer, Cham.
• Kai-Ingo Voigt, OanaBuliga, Kathrin Michl, (2017), Entertainment on Demand: The Case of Netflix. In: Business Model Pioneers, Springer International Publishing.
• Jenkins J., (2017), Netflix. In: Schintler L., McNeely C. (eds) Encyclopedia of Big Data, Springer, Cham
• Roberts R., (2017), Live TV, Netflix, Amazon, the Universe! In: Mastering Media with the Raspberry Pi. Apress, Berkeley, CA.
• McDonald K. & Smith-Rowsey D., (2016), The Netflix effect: Technology and entertainment in the 21st century. London: Bloomsbury Academic.
• Amatriain X., Basilico J., (2015), Recommender Systems in Industry: A Netflix Case Study. In: Ricci F., Rokach L., Shapira B. (eds) Recommender Systems Handbook. Springer, Boston, MA.
• Mary J. Cronin, (2014), Netflix Switches Channels. In: Top Down Innovation, Springer International Publishing.
• Keating, Gina, (2012), Netflixed: The Epic Battle for America’s Eyeballs. Portfolio/ Penguin.
• Robert M. Bell, Yehuda Koren& Chris Volinsky, (2010), All Together Now: A Perspective on the Netflix Prize. CHANCE, 23:1, 24-29.
• S. Finlay, (2014), Predictive Analytics, Data Mining and Big Data, Palgrave Macmillan UK.
• Min Chen, Shiwen Mao, Yin Zhang, Victor CM Leung, (2014), Big Data: Related Technologies, Challenges and Future Prospects, Springer International Publishing.
• Hrushikesha Mohanty, PrachetBhuyan, Deepak Chenthati, (2015), Big Data: A Primer, Springer India.

*Ο Ευάγγελος Φαρμακίδης είναι μέλος της Homo Digitalis, ασκούμενος δικηγόρος, τελειόφοιτος του ΔΠΜΣ «Δίκαιο και Πληροφορική» του Τμήματος Εφαρμοσμένης Πληροφορικής, ΠαΜακ και της Νομικής Σχολής, ΔΠΘ, μεταπτυχιακός φοιτητής Ποινικού Δικαίου και Εγκληματολογικών Επιστημών στη Νομική Σχολή, ΔΠΘ, κάτοχος Διπλώματος στην Κοινωνική Οικονομία και Κοινωνική Επιχειρηματικότητα και Διαπιστευμένος Διαμεσολαβητής του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων.

Της Αναστασίας Καραγιάννη *

Πριν από λίγες μέρες έπεσε στην αντίληψή μου το βίντεο ενός χρήστη στο YouΤube, ο οποίος προσπαθούσε να εξηγήσει πώς αυτή η πλατφόρμα διευκολύνει την σεξουαλική εκμετάλλευση των παιδιών από παιδόφιλους. Μάλιστα, σχολίαζε ότι πρόκειται για μία αρκετά επικερδή δραστηριότητα σε αυτόν τον χώρο, καθώς στα συγκεκριμένα βίντεο προβάλλονταν διαφημίσεις, τόσο του Fortnite, όσο και της Disney και άλλων εταιριών!

Αναρωτήθηκα πώς επιτρέπεται αυτό και πώς ήταν τόσο προφανές που το παρατήρησε και το ανακάλυψε;

Στο βίντεο, λοιπόν, που ανέβασε ο Matt Watson παρουσιάζονται ανεβασμένα βίντεο των παιδιών σε καθημερινά στιγμιότυπα, όπως σε αθλητικές δραστηριότητες, σε παιχνίδια, σε πισίνα με μαγιό. Πρόκειται για ‘αθώα’ βίντεο, χωρίς επικίνδυνο, άσεμνο ή πορνογραφικό περιεχόμενο. Ωστόσο, αποκτούν soft porno περιεχόμενο στα μάτια παιδόφιλων, οι οποίοι τα σχολιάζουν, τονίζοντας παγωμένα στιγμιότυπα, και τα προωθούν κατ’ αυτόν τον τρόπο. Δεν διστάζουν, μάλιστα, να προσθέσουν στα σχόλια links-συνδέσεις με υλικό παιδικής πορνογραφίας.

Για την αξιοπιστία του πειράματος που έκανε, ο Matt Watson χρησιμοποίησε έναν ολοκαίνουργιο λογαριασμό στο YouTube και ένα VPN, ώστε οι αναζητήσεις του να μην επηρεαστούν από προηγούμενη δραστηριότητα στην πλατφόρμα.

Το αποτέλεσμα ήταν σοκαριστικό. Τόσο η πλαϊνή γραμμή όσο και η πρώτη σελίδα των αποτελεσμάτων ήταν γεμάτες με βίντεο ανηλίκων σε διάφορες άσεμνες πόζες. Με αυτόν τον τρόπο, απέδειξε ότι οι αλγόριθμοι που χρησιμοποιεί το YouTube και που παραπέμπουν στα βίντεο αυτά είναι πολύ απλοί, καθώς πληκτρολογώντας απλές φράσεις, όπως ‘κορίτσια σε πισίνα’ ή ‘μικρά κορίτσια κάνουν γυμναστική’ εμφανίζονται βίντεο που παραπέμπουν σε υλικό με το περιεχόμενο και τα σχόλια, όπως περιγράφηκε παραπάνω.

Πονοκέφαλο προκαλούν στο Youtube τόσο ο χαρακτηρισμός αυτών των βίντεο και ο τρόπος αντιμετώπισής τους, όσο και το γεγονός ότι αποτελούν μία κερδοσκοπική δραστηριότητα, αφού εξαιτίας της υψηλής θεαματικότητας έχουν τοποθετηθεί διαφημίσεις από γνωστές και μεγάλες εταιρίες.

Σχετικά, λοιπόν, με τον χαρακτηρισμό τους, οι διαθέσιμοι τρόποι σήμανσης των βίντεο που κυκλοφορούν στην πλατφόρμα  είναι η ακατάλληλη γλώσσα που χρησιμοποιείται ή η κάλυψη αμφιλεγόμενων θεμάτων και ευαίσθητων γεγονότων. Δεν είναι, όμως, η πρώτη φορά που το YouTube κατηγορείται ότι θέτει σε κίνδυνο τα παιδιά ή ότι δεν τα προστατεύει από την έκθεσή τους σε παιδόφιλους, μέσα από τα σχόλια που παραθέτουν.

Στη φωτογραφία βλέπουμε τους διαθέσιμους τρόπους σήμανσης ενός βίντεο στο YouTube

Το 2018, μια έρευνα του Times of London έδειξε ότι το YouTube δεν κατάφερε να απομακρύνει άμεσα τις ζωντανές ροές-live streamings με ακατάλληλο περιεχόμενο. Το 2017, μάλιστα, η Google δέχθηκε επικρίσεις από το πρόγραμμα Trusted Flagger που διαθέτει το YouTube, στο οποίο συμμετέχουν και ειδικοί παιδικής προστασίας, έπειτα από τις διαμαρτυρίες τους για απουσία δράσης και αντιμετώπισης σχετικά με τον κίνδυνο για σεξουαλική εκμετάλλευση παιδιών, τόσο εξαιτίας απρεπών φωτογραφιών όσο και άσεμνων σχολίων.

Σε μια συνέντευξη που παραχώρησε το 2017 στην Forbes, αν και δεν δημοσιεύτηκε, ένας από τους συμμετέχοντες σε αυτή την εκστρατεία ευαισθητοποίησης, εξέφρασε την δυσαρέσκειά του σχετικά με τον αργό ρυθμό που το YouTube ανταποκρίθηκε και διαχειρίστηκε τις αναφορές που υποβλήθηκαν. Μετά από την υποβολή 526 αναφορών που υποβλήθηκαν σε λιγότερο από 60 ημέρες σχετικά την ασφάλεια των παιδιών στην πλατφόρμα, οι ίδιοι έλαβαν συνολικά μόνο 15 απαντήσεις, ενώ μόλις οι 8 εξετάστηκαν για τον έλεγχο παραβίασης των Κοινοτικών Οδηγιών. Εκπρόσωπος του YouTube δεσμεύτηκε ότι θα προσπαθήσει να προσθέσει μία λειτουργία αναθεώρησης σχολίων και θα προσλάβει επιπλέον προσωπικό για να διαχειριστεί αυτήν την κατάσταση.

Στα ίδια πλαίσια, θα πρέπει να γίνει αναφορά και στο ερευνητικό τεύχος του Daily Dot του 2013 σχετικά με το ποσοστό των παιδόφιλων που έρχονται σε επαφή με ανηλίκους μέσω σχολίων στο YouTube. Τα βίντεο που προσελκύουν το ενδιαφέρον των  παιδόφιλων χρονολογούνται από το 2013, ενώ εξακολουθούν να αναπαράγονται και το 2019! Εκατομμύρια σχόλια και περισσότερα από 400 κανάλια στο YouTube διαγράφηκαν για τα απρεπή σχόλια και τα άσεμνα βίντεο που προωθούσαν,  όπως ανέφερε η Chi Hea Cho, εκπρόσωπος της Google, μητρικής εταιρίας του YouTube. Μάλιστα, η Chi Hea Cho επισήμανε ότι ανέφερε αυτές τις παράνομες δραστηριότητες και στο Εθνικό Κέντρο για τα Εξαφανισμένα και Κακοποιημένα Παιδιά.

Τα παιδιά που μαγνητοσκοπούν και ανεβάζουν τα βίντεο αυτά είναι, σχεδόν σε όλες τις περιπτώσεις, κάτω των 13 ετών. Και αναρωτιέμαι:

-Γιατί δεν αντιδρούν οι γονείς τους;

-Πώς επιτρέπεται να αναπαράγεται αυτό το υλικό, εφόσον το YouTube γνωρίζει το πώς χρησιμοποιείται και προωθείται;

-Αντί για κατασταλτικά μέτρα, γιατί δεν λαμβάνουν τόσο η Google όσο και το YouTube προληπτικά μέτρα;

-Αντί για διαγραφή σχολίων και λογαριασμών, κατόπιν εορτής, γιατί αυτές οι πλατφόρμες δεν αναπτύσσουν φίλτρα προστασίας και δεν εφαρμόζουν πολιτικές σύμφωνες με τους κανόνες παιδικής προστασίας;

Η Epic Games και η Nestle απέσυραν τις διαφημίσεις τους σε αντίστοιχα βίντεο από τις δύο πλατφόρμες. Αρκεί όμως αυτό;

*Η Αναστασία Καραγιάννη είναι νομικός με εξειδίκευση στα ψηφιακά δικαιώματα των παιδιών. Είναι μέλος της Homo Digitalis και συνδημιουργός της ChildAct, η οποία έχει ως σκοπό την προστασία των ψηφιακών δικαιωμάτων των παιδιών. Στις 8 Νοεμβρίου 2018 εκπροσώπησε τη Homo Digitalis στη συνεδρίαση με θέμα ‘Facebook και άλλοι κοινωνικοί κίνδυνοι’, που έλαβε χώρα στο Ευρωπαϊκό Κοινοβούλιο.

Του Αναστάσιου Αραμπατζή*

Το τελευταίο χρονικό διάστημα υπάρχει έντονο ενδιαφέρον και επενδύσεις στον τομέα της Τεχνητής Νοημοσύνης από εταιρείες που ελπίζουν να αξιοποιήσουν τη δύναμη αυτόνομων λύσεων με δυνατότητες μάθησης. Η τεχνητή νοημοσύνη χρησιμοποιείται ήδη από οργανισμούς στον ασφαλιστικό κλάδο, στην έρευνα για τον καρκίνο του μαστού, σε χρηματοπιστωτικούς οργανισμούς και στην επιβολή του νόμου.

Εντούτοις, σύμφωνα με μία πρόσφατη έρευνα της ESET, οι υψηλές προσδοκίες των επιχειρήσεων και η παραπλανητική διαφήμιση προϊόντων τεχνητής νοημοσύνης έχουν δημιουργήσει μία υπερβάλλουσα δημοσιότητα σχετικά με την τεχνητή νοημοσύνη, σε σημείο που το 75% των υψηλόβαθμων στελεχών συστημάτων πληροφορικής να θεωρούν την τεχνητή νοημοσύνη ως πανάκεια για τα θέματα κυβερνοσφάλειας των εταιρειών τους. Τέτοιες προσδοκίες, σε συνδυασμό με το επίπεδο της τεχνολογίας της τεχνητής νοημοσύνης, θέτουν τους οργανισμούς σε κίνδυνο. Παρότι η τεχνητή νοημοσύνη είναι εκπληκτικά χρήσιμη στην υποβοήθηση λήψεως αποφάσεων από τους ανθρώπους, από μόνη της δεν μπορεί να αντικαταστήσει μία στρατηγική ασφάλειας πληροφοριών.

Ας πάρουμε για παράδειγμα τις προσπάθειες του Facebook να καταπολεμήσει και να μειώσει τις “ψευδείς ειδήσεις” που διαδίδονται με εκπληκτική ταχύτητα μέσω της πλατφόρμας του.  Η πλατφόρμα κοινωνικής δικτύωσης χρησιμοποίησε τους καλύτερους μηχανικούς της για να αναπτύξουν εργαλεία τεχνητής νοημοσύνης για τον εντοπισμό και εξάλειψη ψευδών ειδήσεων. Παρά τις έντονες προσπάθειές τους, ο Greg Marra, διευθυντής παραγωγής στη Facebook, παραδέχθηκε ότι “μπορούμε να μειώσουμε την εμφάνιση ψευδών ειδήσεων μόνο κατά 80%”. Εάν η τεχνητή νοημοσύνη επιλύει μόνο το 80% των θεμάτων ψευδών ειδήσεων στο Facebook, τότε οι εταιρείες προϊόντων κυβερνοασφάλειας κάνουν μη ρεαλιστικούς ισχυρισμούς.

Η σκληρή αλήθεια είναι ότι μεγάλο μέρος του ενθουσιασμού που περιβάλλει την τεχνητή νοημοσύνη είναι υπερβολή. Εντούτοις η τεχνητή νοημοσύνη προσφέρει ελπίδες για υψηλής νοημοσύνης λύσεις. Είναι ώρα για ένα τεστ αλήθειας: τι μπορεί και τι δεν μπορεί να κάνει η τεχνητή νοημοσύνη;

• Η τεχνητή νοημοσύνη μπορεί να βοηθήσει στο επίπεδο κυβερνοασφάλειας ενός οργανισμού

Η αλήθεια είναι ότι ο τομέας της κυβερνοσφάλειας είχε ανάγκη μία τεχνολογία σαν την τεχνητή νοημοσύνη λόγω των σημαντικών αλλαγών στο τοπίο των απειλών και της έλλειψης εξειδικευμένου προσωπικού για τη στελέχωση θέσεων εργασίας κυβερνοασφάλειας.

Τα τελευταία χρόνια σχεδόν κάθε οργανισμός έχει μετασχηματιστεί ψηφιακά (digital transformation). Ο όρος “ψηφιακός μετασχηματισμός” υπονοεί τη χρήση ψηφιακών τεχνολογιών για την εκτέλεση μίας διαδικασίας ώστε αυτή να γίνει περισσότερο αποδοτική ή αποτελεσματική. Η γενική ιδέα είναι η χρήση της τεχνολογίας όχι μόνο για να αντιγράψουμε μία υφιστάμενη υπηρεσία σε ψηφιακή μορφή, αλλά για να μετασχηματίσουμε αυτή την υπηρεσία σε κάτι σημαντικά καλύτερο. Ο ψηφιακός μετασχηματισμός μπορεί να περιλαμβάνει πολλές τεχνολογίες, αλλά οι πιο σύγχρονες τάσεις είναι το cloud computing, το Internet of Things (IoT), τα μεγάλα δεδομένα (big data) και η τεχνητή νοημοσύνη.

Εκτός από τη χρήση τεχνολογίας, ο ψηφιακός μετασχηματισμός είναι μία αλλαγή στην κουλτούρα των οργανισμών η οποία επιβάλλει στους οργανισμούς να προκαλούν συνεχώς την υφιστάμενη κατάσταση, να πειραματίζονται και να μαθαίνουν από τις από αποτυχίες τους. Στη σημερινή εποχή το μόνο σταθερό είναι ότι όλα αλλάζουν και η κουλτούρα των οργανισμών πρέπει να διευκολύνει την αλλαγή.

Η χρήση τέτοιων τεχνολογιών έχει ανοίξει νέους ορίζοντες για τις ικανότητες των οργανισμών αλλά έχει επίσης δημιουργήσει νέες πολυπλοκότητες, διασυνδέσεις και σημεία τρωτοτήτων τα οποία οι κυβερνοεγκληματίες έμαθαν πολύ γρήγορα να εκμεταλλεύονται. Οι παραδοσιακές προσεγγίσεις της περιμετρικής ασφάλειας και κυβερνοσφάλειας δεν ισχύουν πλέον για τον νέο, ψηφιακό οργανισμό. Την ίδια στιγμή, οι ομάδες κυβερνοσφάλειας που αποτελούνται μόνο από ανθρώπους δεν μπορούν να επεξεργαστούν την πλημμύρα δεδομένων απειλών με την οποία έρχονται αντιμέτωποι κάθε μέρα.

Όπως αναφέρει χαρακτηριστικά η σελίδα Security Intelligence της IBM, οι αναλυτές δεδομένων ασφαλείας είναι υπερφορτωμένοι, υποστελεχωμένοι και παρουσιάζουν σημάδια κούρασης και εξόντωσης. Είναι ανθρωπίνως αδύνατο να συμβαδίσουμε με το διαρκώς εξελισσόμενο και εκτεινόμενο πεδίο των απειλών, ειδικά εάν λάβουμε υπόψη τις καθημερινές εργασίες και λειτουργίες ενός κέντρου επιχειρήσεων ασφαλείας (Security Operations Center, SOC). Τι μπορεί να κάνει η τεχνητή νοημοσύνη για να βελτιωθεί αυτή η κατάσταση; Σύμφωνα με μία πρόσφατη αναφορά του Ponemon, οι οργανισμοί οι οποίοι κατάφεραν να αναγνωρίσουν μια παραβίαση ασφαλείας σε λιγότερο από 100 ημέρες κέρδισαν περισσότερο από 1 εκατομμύριο δολάρια σε σύγκριση με αυτούς τους οργανισμούς όπου παρόμοια περιστατικά παρέμειναν άγνωστα για περισσότερο από 100 ημέρες. Παρομοίως, οι οργανισμοί που κατάφεραν να περιορίσουν την παραβίαση σε λιγότερο από 30 ημέρες κέρδισαν άνω του 1 εκατομμυρίου δολαρίων σε σύγκριση με αυτούς που χρειάστηκαν περισσότερο χρόνο.

Η ταχύτητα, ακρίβεια και υπολογιστική ισχύς της τεχνητής νοημοσύνης προσφέρουν μια μοναδική ευκαιρία για την προστασία ενός οργανισμού χωρίς περίμετρο ασφαλείας και για συνεχή επεξεργασία του τεράστιου όγκου δεδομένων απειλών που αντιμετωπίζουν οι οργανισμοί σε καθημερινή βάση. Αυτό γίνεται λόγω του ότι η τεχνητή νοημοσύνη λειτουργεί εξαιρετικά καλά σε επαναλαμβανόμενες εργασίες όπως η αναζήτηση συγκεκριμένων μοτίβων επιθέσεων. Έτσι, η υλοποίηση της τεχνητής νοημοσύνης στους οργανισμούς μπορεί να βοηθήσει στην αποτελεσματική αντιμετώπιση της έλλειψης πόρων που αντιμετωπίζουν τα περισσότερα κέντρα επιχειρήσεων ασφαλείας και μπορεί να προσφέρει οφέλη μεγέθους κλίμακας στην πρόληψη και αναγνώριση προσβολών, στην αναγνώριση απάτης και στην κακή χρησιμοποίηση πιστοποιητικών ταυτοποίησης.

Επιπρόσθετα, οι αλγόριθμοι τεχνητής νοημοσύνης μπορούν να εφαρμοστούν για την συμπεριφορική ανάλυση χρηστών και δικτύων. Για παράδειγμα οι αλγόριθμοι μπορούν να χρησιμοποιηθούν για τη διερεύνηση δραστηριοτήτων ανθρώπων και συσκευών ώστε να σηματοδοτηθούν πιθανές κακόβουλες δραστηριότητες εκ των έσω.

• Η Τεχνητή Νοημοσύνη Δεν Είναι Μαγεία

Ο Arthur Clarke είχε γράψει ότι “Οποιαδήποτε ικανοποιητικά προηγμένη τεχνολογία δεν διακρίνεται από τη μαγεία”. Αυτό όμως δεν είναι αλήθεια για την τεχνητή νοημοσύνη. Ο επικεφαλής Τεχνητής Νοημοσύνης της Google, Rodney Brooks, σημειώνει ότι “Η Τεχνητή Νοημοσύνη έχει υπερεκτιμηθεί ξανά και ξανά, και τη δεκαετία του 1960, και τη δεκαετία του 1980 και πάλι σήμερα, αλλά οι μακροπρόθεσμες προοπτικές της έχουν υποεκτιμηθεί”. Στην πραγματικότητα, σύμφωνα με τον Brooks, η Τεχνητή Νοημοσύνη είναι μία ακόμα εφαρμογή του νόμου του Amara, ο οποίος λέει ότι “Τείνουμε να υπερεκτιμάμε την επίδραση της τεχνολογίας βραχυπρόθεσμα, και να υποεκτιμούμε την μακροπρόθεσμη επίδρασή της”.

Ένα λάθος που κάνουμε είναι η τάση να θεωρούμε την Τεχνητή Νοημοσύνη ως ένα είδος “μαγικής σκόνης” που την ψεκάζουμε σε ένα οργανισμό και αυτός, ξαφνικά, γίνεται πιο έξυπνος. Ο Andrew Moore, επικεφαλής του Τμήματος Επιχειρήσεων Cloud AI της Google, είπε πρόσφατα ότι “η Τεχνητή Νοημοσύνη αφορά τη χρήση μαθηματικών ώστε οι μηχανές να παίρνουν αληθινά καλές αποφάσεις. Επί του παρόντος δεν αφορά την εξομοίωση της ανθρώπινης νοημοσύνης. Η επίλυση προβλημάτων τεχνητής νοημοσύνης περιλαμβάνει πολλή μηχανική, πολλά μαθηματικά και γραμμική άλγεβρα. Δεν είναι με κανένα τρόπο μία μαγικού τύπου λύση”.

Στην πραγματικότητα οι σημερινοί αλγόριθμοι τεχνητής νοημοσύνης δεν είναι τίποτα άλλο από παραδοσιακοί αλγόριθμοι εκμάθησης μηχανών. Η εκμάθηση μηχανών χρησιμοποιεί στατιστικές τεχνικές για να δώσει στους υπολογιστές την ικανότητα να “μαθαίνουν”. Χρησιμοποιούν δηλαδή δεδομένα για να βελτιώνουν σταδιακά την απόδοση των υπολογιστών σε συγκεκριμένες εργασίες χωρίς επιπρόσθετο προγραμματισμό. Ένα σύστημα εκμάθησης μηχανών είναι ένα σύνολο αλγορίθμων που δέχεται πακέτα δεδομένων και αποδίδει συσχετισμούς, προτάσεις και ίσως και αποφάσεις. Η εν λόγω τεχνολογία είναι ήδη πανταχού παρούσα: κάθε “συναλλαγή” μας με την Google, την Amazon, την Facebook και τη Spotify διευκολύνεται από συστήματα εκμάθησης μηχανών.

Εν κατακλείδι, όπως ανέφερε η Fei-Fei Li, καθηγήτρια στο Πανεπιστήμιο του Stanford, “δεν υπάρχει τίποτα το τεχνητό στην τεχνητή νοημοσύνη. Είναι εμπνευσμένη από ανθρώπους, έχει δημιουργηθεί από ανθρώπους και – το πιο σημαντικό – επηρεάζει τους ανθρώπους. Είναι ένα πολύ δυνατό εργαλείο που μόλις αρχίζουμε να το καταλαβαίνουμε και αυτό εμπεριέχει μεγάλη ευθύνη”.

• Η Τεχνητή Νοημοσύνη δεν Εξαλείφει την Ανθρώπινη Νοημοσύνη

Η τεχνητή νοημοσύνη εστιάζει κυρίως στην ανάπτυξη της εκμάθησης των μηχανών, ώστε να επεξεργάζονται τεράστιες ποσότητες δεδομένων απειλών. Η ικανότητα της τεχνητής νοημοσύνης να πραγματοποιεί αυτές τις δραστηριότητες χωρίς περιορισμούς και σε σχεδόν πραγματικό χρόνο, την κάνει ένα πολύτιμο σύμμαχο για την υλοποίηση ενός μοντέρνου, αποτελεσματικού προγράμματος κυβερνοασφάλειας. Αυτές οι δραστηριότητες μπορούν να πραγματοποιηθούν σε κάθε στάδιο της κυβερνοσφάλειας, επιτρέποντας στη τεχνητή νοημοσύνη να προσφέρει αξία πριν, κατά και μετά την εκδήλωση μίας κυβερνοεπίθεσης. Αλλά, η τεχνητή νοημοσύνη δεν αντιγράφει την ανθρώπινη ενόραση. Δεν αναιρεί την απαίτηση για ανθρώπινους εμπειρογνώμονες στην κυβερνοασφάλεια.

Όπως αναφέρεται και σε ένα άρθρο του περιοδικού Computer Weekly, τα εργαλεία εκμάθησης μηχανών είναι “πολύτιμα” για την ανάλυση κακόβουλου λογισμικού διότι είναι ικανά να μάθουν γρήγορα τη διαφορά μεταξύ καθαρών και μολυσμένων δεδομένων όταν τροφοδοτούνται με κατάλληλα δείγματα. Αυτές οι μηχανές είναι τόσο καλές όσο και τα δεδομένα που εισάγονται σε αυτές. Σε τελική ανάλυση, είναι ο άνθρωπος που χρειάζεται να ξέρει πως να ρωτήσει τις κατάλληλες ερωτήσεις ώστε να αξιοποιήσει στο μέγιστο τις δυνατότητες της τεχνητής νοημοσύνης.

Τα διάφορα εργαλεία τεχνητής νοημοσύνης μπορούν να καταγράψουν και να αναφέρουν βασικά δεδομένα συστήματος ακόμα και χωρίς την ανθρώπινη επίβλεψη, αλλά δεν μπορούν να σχεδιάσουν έξυπνα σχέδια ανταπόκρισης σε απειλές. Η τελευταία δήλωση είναι σύμφωνη και με τα ευρήματα πρόσφατης έρευνας του ινστιτούτου Ponemon ότι το 55% των συναγερμών ασφαλείας που ανιχνεύονται από συστήματα τεχνητής νοημοσύνης απαιτεί ενέργειες από τον άνθρωπο.

• Προκατειλημμένοι Αλγόριθμοι

Η τεχνητή νοημοσύνη έχει ένα ακόμα πρόβλημα: οι προκαταλήψεις και οι αντιλήψεις των δημιουργών των αλγορίθμων αποτυπώνονται σε αυτούς. Όπως σημειώνει και η καθηγήτρια του Stanford, Fei-Fei Li, συστήματα τεχνητής νοημοσύνης είναι “εισαγωγή προκαταλήψεων και παραγωγή προκαταλήψεων”. Παρότι οι αλγόριθμοι που βρίσκονται πίσω από την τεχνητή νοημοσύνη φαίνεται να είναι ουδέτεροι, τα δεδομένα που παράγονται από αυτούς δεν είναι. Αυτό που έχει σημασία είναι οι άνθρωποι που δημιουργούν αυτούς τους αλγορίθμους και γιατί τους δημιουργούν.

Για το ίδιο θέμα, ο Justin Sherman, ερευνητής κυβερνοσφάλειας στο ινστιτούτο New America έγραψε ότι: “Αυτό που παραβλέπεται συχνά είναι η διασύνδεση μεταξύ αλγορίθμων και προκαταλήψεων. Αντίθετα με το τι πιστεύουν πολλοί από εμάς, η τεχνολογία δεν είναι αντικειμενική. Οι αλγόριθμοι της τεχνητής νοημοσύνης και η διαδικασία λήψης αποφάσεων καθορίζονται από τα άτομα που τα δημιουργούν. Ο κίνδυνος των προκατειλημμένων αλγορίθμων είναι ήδη μεγάλος. Ως κοινωνία διατρέχουμε μεγάλο κίνδυνο εισάγοντας τις προκαταλήψεις μας – ρατσισμός, ξενοφοβία, σεξισμός, κοινωνικός αποκλεισμός – σε μηχανές που θα παραχθούν σε μαζικούς αριθμούς και θα θεωρούμε ότι λειτουργούν με τεχνολογική αντικειμενικότητα”.

• Τεχνητή Νοημοσύνη: Εχθρός ή Φίλος;

Τα εργαλεία για την ανάπτυξη συστημάτων τεχνητής νοημοσύνης είναι διαθέσιμα σε όλους. Αναμένεται, λοιπόν, οι κακόβουλοι δρώντες να τα εκμεταλλευτούν και να δημιουργήσουν τεχνολογίες και τεχνικές κυβερνοεπιθέσεων βασισμένες στην τεχνητή νοημοσύνη, οι οποίες θα είναι πιο εξελιγμένες από ότι οι τεχνολογίες που χρησιμοποιούνται για την υπεράσπιση των οργανισμών. “Οι εγκληματίες είναι το ίδιο εξειδικευμένοι με τις κοινότητες που αναπτύσσουν τεχνολογίες για την υπεράσπισή τους. Χρησιμοποιούν τις ίδιες τεχνικές, όπως έξυπνες επιθέσεις phishing ή ανάλυση της συμπεριφοράς των πιθανών στόχων για να επιλέξουν τον κατάλληλο τρόπο επίθεσης ή ακόμα “έξυπνο” κακόβουλο λογισμικό το οποίο κρύβεται όταν καταλάβει ότι κάποιος το παρακολουθεί”.

Οι πιο κοινοί τρόποι με τους οποίους οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν την τεχνητή νοημοσύνη είναι η μείωση της αποτελεσματικότητας των αλγορίθμων με μόλυνση των δεδομένων από τα οποία τροφοδοτούνται, κυβερνοεγκλήματα με χρήση chatbots τα οποία αναλύουν και μιμούνται την ανθρώπινη συμπεριφορά, απάτες κλοπής ταυτοτήτων, phishing και επιθέσεις άρνησης παροχής υπηρεσιών (Distributed Denial of Services, DDoS).

• Υλοποίηση Τεχνολογίας Τεχνητής Νοημοσύνης

Πέρα από το τι μπορεί να κάνει η τεχνητή νοημοσύνη για να αυξήσει το επίπεδο της εταιρικής ασφάλειας, οι εταιρείες πρέπει να σκεφτούν τον τρόπο υλοποίησης αυτής της τεχνολογίας. Πως μπορούν οι οργανισμοί να αναπτύξουν αποτελεσματικά λύσεις τεχνητής νοημοσύνης ώστε να μεγιστοποιήσουν τα αποτελέσματα;

Αρχικά, οι εταιρείες πρέπει “να σταματήσουν να σκέφτονται ότι η τεχνητή νοημοσύνη είναι μαγεία”. Η τεχνητή νοημοσύνη δεν είναι πανάκεια και δεν θα λύσει όλες τις προκλήσεις ασφαλείας. Η τεχνητή νοημοσύνη θα αυξήσει την απόδοση μόνο εάν χρησιμοποιηθεί εκεί που προσθέτει πραγματική αξία, εάν βοηθά στην επίτευξη του σκοπού της εταιρείας. Είναι αναγκαίο οι ομάδες που στελεχώνουν τα κέντρα επιχειρήσεων ασφαλείας να κατανοήσουν τις δυνατότητες και τους περιορισμούς της τεχνητής νοημοσύνης.

Επίσης πρέπει να βεβαιωθούν ότι μπορούν να ωφεληθούν από την τεχνητή νοημοσύνη μέσω της αυτοματοποίησης των διαδικασιών της ανάλυσης τυποποιημένων απειλών ώστε οι άνθρωποι να εστιάσουν στο μικρό ποσοστό κακόβουλων και πολύπλοκων δραστηριοτήτων. Εκμεταλλευόμενοι τις δυνατότητες της τεχνητής νοημοσύνης, τα κέντρα επιχειρήσεων μπορούν να διπλασιάσουν τον αριθμό των περιστατικών που μπορούν να διαχειριστούν χωρίς να διπλασιάσουν τον αριθμό των αναλυτών.

• Συμπέρασμα

Η τεχνητή νοημοσύνη είναι πολύ σημαντική και μπορεί να αλλάξει τις ζωές μας με τρόπους που δεν μπορούμε ακόμα να φανταστούμε. Είναι όμως αφελές να ισχυριζόμαστε ότι αυτό έχει ήδη συμβεί. Η τεχνητή νοημοσύνη έχει τεράστιες δυνατότητες και όπου έχει χρησιμοποιηθεί έχει βελτιώσει σημαντικά την ταχύτητα και την ακρίβεια. Εάν συνδυαστεί με τις κατάλληλες διαδικασίες και δεξιότητες καθώς και την κατάλληλη σχεδίαση για ενσωμάτωση στον τρόπο λειτουργίας του οργανισμού, τότε είναι πιθανό να μεγιστοποιήσουμε τα οφέλη της τεχνητής νοημοσύνης και να θέσουμε τα θεμέλια για τη μελλοντική μηχανική ευφυΐα.

* Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Σήμερα αρθρογραφεί για τη στήλη State of Security της εταιρείας Tripwire και για το blog της Venafi. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.

Τα πνευματικά δικαιώματα στην ανωτέρω φωτογραφία ανήκουν στην Any IP Ltd .

της Θεοδώρας Φιρίγγου.*

Σημείωση: Το πρωτότυπο άρθρο είναι δημοσιευμένο στα αγγλικά. Η παρούσα εκδοχή είναι μεταφρασμένη στα ελληνικά από την ομάδα εθελοντών της Homo Digitalis.

Χρησιμοποιώντας τις διάφορες ηλεκτρονικές υπηρεσίες, δεν μπορούμε παρά να μην παρατηρήσουμε ότι βομβαρδιζόμαστε διαρκώς από προτάσεις για διαδικτυακό περιεχόμενο της αρεσκείας μας, προϊόντα, αλλά και υπηρεσίες διαφόρων διαφημιστών.

Το YouTube και το Netflix, για παράδειγμα, προβάλλουν προτεινόμενα βίντεο, το Spotify παρέχει βοήθεια για την ανακάλυψη νέας μουσικής με το Spotify Radar, ενώ το Facebook και άλλες πλατφόρμες διαφημίζουν προϊόντα σύμφωνα με τις προηγούμενες αναζητήσεις των χρηστών τους. Κοινός παρανομαστής για τη χρήση τέτοιων αλγοριθμικών συστημάτων από τους διάφορους παρόχους ηλεκτρονικών υπηρεσιών είναι η επιθυμία τους να “ικανοποιούν” το χρήστη, ενισχύοντας την εξατομικευμένη του ψηφιακή εμπειρία.

Ωστόσο, είναι αυτή η απόπειρα να εξατομικευθεί η αλληλεπίδρασή σου με την εκάστοτε υπηρεσία πράγματι τόσο αθώα και πώς ένας αλγόριθμος αποφασίζει για το τι θα σου άρεσε να δεις ή να ακούσεις;

Ίσως να σου έχει συμβεί: γνωρίζεις κάποιον, και έπειτα λαμβάνεις ξαφνικά πρόταση από το Facebook να κάνεις αίτημα φιλίας σε αυτό το άτομο· ή συζητάς για ένα προϊόν στην εφαρμογή Messenger  και το ίδιο προϊόν ύστερα διαφημίζεται στην αρχική σου σελίδα στο Facebook. Δεν είναι τρομακτικό; Και τι θα συμβεί εάν τα πράγματα γίνουν πιο σοβαρά, πχ. στην περίπτωση που ένας χρήστης καταλήξει εγκλωβισμένος σε μια φιλτραρισμένη φούσκα περιορισμένης θεώρησης του κόσμου, ή εάν υπάρξει θύμα διακριτικής μεταχείρισης κατά την προσφορά μιας προτεινόμενης θέσης εργασίας;

Όντας προβληματισμένη από μία σειρά αναπάντητων ερωτημάτων, επεδίωξα να διεκπεραιώσω μια έρευνα αναφορικά με το δικαίωμα αιτιολόγησης. Πέντε μήνες αργότερα και έχοντας διεξάγει εμπειρική έρευνα ασκώντας το δικαίωμα μου κατά παρόχων ηλεκτρονικών υπηρεσιών, έλαβα βραβείο για τη διατριβή μου στην αλγοριθμική λογοδοσία και το δικαίωμα αιτιολόγησης. Με αυτό το άρθρο θα ήθελα να μοιραστώ κάποιες από τις διαπιστώσεις μου μαζί με το κοινό της Homo Digitalis.

Εντοπισμός του προβλήματος

Εξαιτίας της πολυσύνθετης και αδιαφανούς φύσης των αλγοριθμικών συστημάτων, η εκτεταμένη χρήση τους στην αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, έχει προξενήσει ερωτήματα σχετικά με θέματα διαφάνειας και λογοδοσίας. Οι αλγόριθμοι νοούνται ως ένα “μαύρο κουτί” και έτσι επιβραδύνουν κάθε απόπειρα αξιολόγησης της διαδικασίας λήψης αποφάσεων και των αποτελεσμάτων αυτής.

Ταυτόχρονα, οι διατάξεις της Ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, όπως εκείνες του Γενικού Κανονισμού για την Προστασία Δεδομένων (“GDPR”), προβλέπουν την αρχή της διαφανούς επεξεργασίας και την αρχή της λογοδοσίας οι οποίες δεσμεύουν τον υπεύθυνο επεξεργασίας και θέτουν τις αναγκαίες εγγυήσεις για την τήρηση των αρχών αυτών. Μία από τις εγγυήσεις αυτές, είναι το δικαίωμα αιτιολόγησης, η ύπαρξη και το πεδίο εφαρμογής του οποίου έχει, ωστόσο, κινήσει μία εκτενή ακαδημαϊκή συζήτηση.

Το εάν η όχι η εφαρμογή του δικαιώματος αιτιολόγησης στην πράξη, αντικατοπτρίζει τον θεμελιώδη σκοπό του, υπήρξε το βασικό θέμα έρευνας της διατριβής μου. Στο πλαίσιο αυτό χρησιμοποίησα την ακόλουθη μεθοδολογία: Πρώτον, προκειμένου να προσδιορίσω το σκοπό του δικαιώματος, επικεντρώθηκα στην χαρτογράφηση και ανάλυση του ευρωπαϊκού νομοθετικού πλαισίου και της σχετικής βιβλιογραφίας.

Στη συνέχεια, χρησιμοποίησα εμπειρική έρευνα προκειμένου να αντιληφθώ πως λειτουργεί στη πράξη το δικαίωμα αιτιολόγησης. Συγκεκριμένα, άσκησα το εν λόγω δικαίωμα κατά πέντε (5) παρόχων επιγραμμικών υπηρεσιών, ρωτώντας τους αναφορικά με τον τρόπο λειτουργίας των αλγοριθμικών συστημάτων που χρησιμοποιούνται τόσο για προτάσεις εξατομικευμένου διαδικτυακού περιεχομένου όσο και για στοχευμένη διαφήμιση.

Το νομοθετικό πλαίσιο

Παρά την έλλειψη ενός συγκεκριμένου άρθρου για το δικαίωμα στην αιτιολόγηση τόσο στην Οδηγία 95/46 όσο και στον GDPR, το δικαίωμα απορρέει από το Άρθρο 22 και το σημείο 71 των διατάξεων του GDPR σχετικά με τις εγγυήσεις κατά της αυτοματοποιημένης λήψης αποφάσεων, και τα Άρθρα 13(2)(στ), 14(2)(ζ), και 15(1)(η) του GDPR όπως και το Άρθρο 12 της Οδηγίας 95/46.

Ειδικότερα, σύμφωνα με το Άρθρο 22 του GDPR ‘οι υπεύθυνοι επεξεργασίας οφείλουν να λαμβάνουν τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων, των ελευθεριών τους και των εννόμων συμφερόντων τους, τουλάχιστον το δικαίωμά εξασφάλισης ανθρώπινης παρέμβασης έναντι των υπεύθυνων, για να εκφράσουν τη δική τους οπτική γωνία και να προσβάλλουν την απόφαση.

Εξάλλου, όπως αποτυπώνεται στο Άρθρο 13-15 του GDPR, το υποκείμενο των δεδομένων πρέπει να έχει πρόσβαση στα προσωπικά δεδομένα και τις πληροφορίες σχετικά με ‘την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, ουσιώδης πληροφορία για τη λογική που επικρατεί, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες μιας τέτοιας διαδικασίας για το υποκείμενο των δεδομένων’. Τέλος, σύμφωνα με το Άρθρο 12 της Οδηγίας Προστασίας Δεδομένων οι υπεύθυνοι οφείλουν να παρέχουν στα υποκείμενα των δεδομένων ΄γνώσεις για τη λογική που επικρατεί’ σε οποιαδήποτε αυτοματοποιημένη λήψη αποφάσεων.

Πεδίο και δυνατότητα εφαρμογής του δικαιώματος στην αιτιολόγηση

Μέσω της ανάλυσης των σχετικών νομοθετικών διατάξεων, της ακαδημαϊκής συζήτησης γύρω από αυτές, και των αντιφάσεων της επιχειρηματολογίας κατά του δικαιώματος στην αιτιολόγηση, κατέστη δυνατό να προσδιοριστεί ο σκοπός και το πεδίο εφαρμογής του δικαιώματος αυτού.

Ειδικότερα, από την ανάλυση αποδείχθηκε ότι το δικαίωμα στην αιτιολόγηση συνεπάγεται την παροχή σημαντικών πληροφοριών σχετικά με τη λογική που ακολουθείται, και η σημασία των παρεχόμενων πληροφοριών θα πρέπει να ερμηνεύεται με ευέλικτο τρόπο. Η πληροφορία μπορεί ενδεχομένως να αναφέρεται είτε στη λειτουργία του συστήματος, είτε σε μία συγκεκριμένη απόφαση και μπορεί να αποτελέσει είτε εκ των προτέρων είτε εκ των υστέρων αιτιολόγηση σε σχέση με το χρόνο κατά τον οποίο λήφθηκε η απόφαση.

Επιπλέον, προκειμένου να αξιολογηθεί κατά πόσο μια αιτιολόγηση είναι ή όχι ουσιαστική, η πληροφορία που παρέχεται πρέπει να εξετάζεται υπό το φως της λειτουργικής της αξίας (ιδίως σχετικά με το εάν δίνει τη δυνατότητα στα υποκείμενα των δεδομένων να ασκήσουν τα δικαιώματά τους). Επιπροσθέτως, η επεξήγηση πρέπει να αποβλέπει στην εξατομικευμένη διαφάνεια, υπό την έννοια της προσωπικής κατανόησης της πληροφορίας  σε ουσιαστικό βάθος.

Η πληροφορία πρέπει επίσης να είναι κατανοητή και να παρέχεται σε σαφή και απλή γλώσσα, προκειμένου ένα σύνηθες υποκείμενο δεδομένων (π.χ. συνήθως ένας χρήστης χωρίς εξειδίκευση σε τεχνολογικής φύσεως θέματα) να μπορεί να την αντιληφθεί πλήρως. Όσον αφορά στα κριτήρια εφαρμογής του δικαιώματος, πρέπει να λαμβάνει χώρα μία αυτοματοποιημένη λήψη απόφασης (συμπεριλαμβανομένης και της κατάρτισης προφίλ), η οποία πάρθηκε χωρίς καμία ανθρώπινη παρέμβαση.

Επιπλέον, η αυτοματοποιημένη απόφαση πρέπει να έχει έννομα ή εξίσου σημαντικά αποτελέσματα, τα οποία ωστόσο πρέπει να ερμηνεύονται υπό ευρεία έννοια, συμπεριλαμβανομένων υποθέσεων κατά τις οποίες οι ελευθερίες και τα δικαιώματα του υποκειμένου των δεδομένων απειλούνται ή ακόμα της υπόθεσης στοχευμένης διαφήμισης που στηρίζεται στην ανάλυση προφίλ.

Τέλος, το δικαίωμα στην επεξήγηση πρέπει να είναι σεβαστό ανεξάρτητα από  εμπορικά απόρρητα και δικαιώματα διανοητικής ιδιοκτησίας. Αυτό σημαίνει ότι τα εμπορικά απόρρητα και τα δικαιώματα διανοητικής ιδιοκτησίας δεν μπορούν να δικαιολογήσουν την άρνηση παροχής πληροφοριών και ότι το δικαίωμα προστασίας δεδομένων υπερισχύει του αυτών.

Ζητήματα συμμόρφωσης που ανακύπτουν

Λαμβάνοντας υπόψη το πεδίο και τη δυνατότητα εφαρμογής του δικαιώματος αιτιολόγησης, η εμπειρική μου έρευνα εστίασε στην εξέταση του κατά πόσο το δικαίωμα αυτό πληροί τους σκοπούς του όταν ασκείται στην πράξη.

Συγκεκριμένα, κατέθεσα έναν αριθμό αιτημάτων αιτιολόγησης που αφορούσαν προτεινόμενο διαδικτυακό περιεχόμενο και στοχευμένη διαφήμιση σε πέντε φορείς ηλεκτρονικών υπηρεσιών, ήτοι  Facebook, YouTube, LinkedIn, Spotify και Netflix. Δεν εκπλήσσει το γεγονός ότι τα αποτελέσματα της ανάλυσης της εμπειρικής έρευνας φανέρωσαν έναν μεγάλο αριθμό ζητημάτων συμμόρφωσης και χάσμα μεταξύ θεωρίας και πράξης.

Tόσο η υποβολή των αιτημάτων όσο και η λήψη ουσιωδών πληροφοριών από τους παρόχους αποδείχθηκε ιδιαίτερα απαιτητική ως διαδικασία: απαιτούσε νομικές γνώσεις επί του θέματος, οργάνωση, επιμονή και υπομονή. Με άλλα λόγια, είναι αμφίβολο κατά πόσο ένα σύνηθες υποκείμενο δεδομένων -ένας κανονικός άνθρωπος δηλαδή, χωρίς εξειδικευμένες γνώσεις- θα μπορούσε να διαχειριστεί επαρκώς την άσκηση των δικαιωμάτων του/της αντιμετωπίζοντας τέτοια εμπόδια.

Παρόλο που οι πολιτικές απορρήτου ήταν εύκολα προσβάσιμες, συχνά ήταν προβληματικές από πλευράς πληρότητας και σαφήνειας. Ο προσδιορισμός των κατάλληλων μέσων επικοινωνίας με τους υπεύθυνους επεξεργασίας ήταν ακόμα πιο δύσκολος. Ωστόσο, τα πιο ανησυχητικά ευρήματα προέκυψαν από την επικοινωνία με τους υπευθύνους. Ποικίλες δυσλειτουργίες, όπως η αποφυγή διοικητικού φόρτου εργασίας, έλλειψη γνώσης, η άγνοια, και άρνηση ικανοποίησης των αιτημάτων καθιστούσαν τη διαδικασία πολύπλοκη.

Επιπλέον, οι εξηγήσεις που δόθηκαν δεν ήταν ικανοποιητικές. Δόθηκαν γενικές, αποσπασματικές και παραπλανητικές πληροφορίες, οι οποίες δεν μπορούσαν να εκπληρώσουν τον σκοπό του δικαιώματος στην αιτιολόγηση,  δεδομένου ότι δεν θα μπορούσαν να θεωρηθούν ως ουσιώδεις πληροφορίες.

Κάποιοι υπεύθυνοι επεξεργασίας αρνήθηκαν να δώσουν πλήρη εξήγηση και δικαιολόγησαν τη στάση τους είτε χρησιμοποιώντας λόγους εμπορικού απορρήτου ή υποστήριξαν ότι το Άρθρο 22 του GDPR και συνεπώς το Άρθρο 15 (1)(η), δεν εφαρμόζονται καθώς η αυτοματοποιημένη διαδικασία δεν παράγει έννομα ή εξίσου σημαντικά αποτελέσματα. Βέβαια, κανένα από αυτά τα επιχειρήματα δεν αποτελούν βάσιμες δικαιολογίες στις οποίες οι υπεύθυνοι θα μπορούσαν να βασιστούν ώστε να αποφύγουν να παρέχουν εξήγηση στο υποκείμενο των δεδομένων.

Συνοψίζοντας, το πόρισμα μου από την εμπειρική έρευνα σε έναν περιορισμένο αριθμό φορέων ηλεκτρονικών υπηρεσιών απέδειξε ότι το δικαίωμα στην αιτιολόγηση δεν πληροί το πεδίο εφαρμογής του σύμφωνα με τις διατάξεις της Ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων όταν ασκείται στη πράξη κατά των υπεύθυνων επεξεργασίας. Το πιο ανησυχητικό είναι το γεγονός ότι επιβεβαιώθηκε ότι τα δικαιώματα των υποκειμένων των δεδομένων καταστρατηγούνται σε μεγάλο βαθμό στο διαδικτυακό περιβάλλον.

Τελικά, μάλλον πρέπει να σκεφτόμαστε διπλά πριν πανηγυρίσουμε αυτή τη γενναιόδωρα ‘ενισχυμένα προσωποποιημένη εμπειρία’ καθώς οι νομικές εγγυήσεις που μας προστατεύουν από δυσμενή επεξεργασία των προσωπικών μας δεδομένων, ειδικά κατά τη διάρκεια της αυτοματοποιημένης λήψης αποφάσεων και της κατάρτισης προφίλ, δεν φαίνεται να εφαρμόζονται από υπεύθυνους επεξεργασίας με δεσπόζουσα θέση στην αγορά. Είναι επομένως αμφίβολο ότι η επεξεργασία των προσωπικών μας δεδομένων γίνεται σύμφωνα με τις αρχές της διαφάνειας και της λογοδοσίας.

*Η Θεοδώρα Φιρίγγου είναι δικηγόρος με εξειδίκευση στο Ποινικό Δίκαιο (LL.M, University of Hamburg) και στο Δίκαιο Διανοητικής Ιδιοκτησίας, Πληροφορίας, Επικοινωνιών και Τεχνολογίας (LL.M IP/ICT Law, KUL). Επικεντρώνει την έρευνα και το ενδιαφέρον της στο δίκαιο προστασίας της ιδιωτικότητας και των προσωπικών δεδομένων και κυρίως στα ζητήματα που ανακύπτουν από τη χρήση νέων τεχνολογιών όπως η μηχανική εκμάθηση και η τεχνητή νοημοσύνη.

Του Βύρωνα Καβαλίνη*

Στο διαδίκτυο είναι πολύ διαδεδομένο μια ιστοσελίδα να χρειάζεται την εγγραφή του χρήστη για να εμφανίσει το περιεχόμενο της ή να παρέχει την υπηρεσία της ή ακόμα και να του δώσει τη δυνατότητα να σχολιάσει κάποιο άρθρο της. Η εγγραφή του χρήστη, και κατά συνέπεια η δημιουργία λογαριασμού, απαιτεί την χρήση κάποιου ονόματος χρήστη (username) αλλά και κωδικού πρόσβασης (password).

Το όνομα χρήστη θα χρειαστεί να είναι μοναδικό και να μην υπάρχει άλλο συνδεδεμένο στην ίδια τη σελίδα για να δημιουργηθεί ο λογαριασμός που απαιτείται, ενώ ο συνδυασμός του ονόματος χρήστη και του κωδικού πρόσβασης αποδεικνύουν την ταυτότητά του χρήστη και η σωστή συμπλήρωση τους δίνει πρόσβαση στο περιεχόμενο της σελίδας σας. Ακόμα και στο email μας αν επιθυμούμε να συνδεθούμε θα χρειαστούμε ένα όνομα χρήστη (συνήθως η διεύθυνση email μας) και έναν κωδικό.

Ο κωδικός πρόσβασης είναι συνήθως συνδυασμός από γράμματα, σύμβολα και αριθμούς. Η χρήση ισχυρών κωδικών πρόσβασης είναι απαραίτητη για την προστασία της ασφάλειας και της ταυτότητάς του χρήστη. Ένας εύκολος κωδικός πρόσβασης έχει περισσότερες πιθανότητες να “μαντευτεί” από κάποιον τρίτο και συνεπώς να έχει πρόσβαση σε προσωπικά μας δεδομένα.

Ένας εύκολος κωδικός πρόσβασης αρχικά έχει μικρό μήκος. Όσο πιο μεγάλος είναι ο κωδικός πρόσβασης τόσο πιο δύσκολο είναι να μαντευτεί από κάποιον ενώ οι συνδυασμοί που προκύπτουν είναι πολύ περισσότεροι. Από έρευνες που έχουν γίνει σε εκατομμύρια κωδικών που έχουν διαρρεύσει έχει παρατηρηθεί ότι οι συνδυασμοί και οι επιλογές που προτιμούνται από τους χρήστες είναι πολύ εύκολοι και είναι της μορφής “123456”, “password”, “football” και άλλες απλές λέξεις που χρησιμοποιούμε όλοι στη καθημερινότητα μας και συνεπώς είναι πολύ εύκολο κάποιος τρίτος να μαντέψει και να βρει.

Αξίζει να αναφερθούμε επίσης στο γεγονός ότι ένα μεγάλο μέρος των χρηστών χρησιμοποιεί τον ίδιο κωδικό πρόσβασης σε όλες τις σελίδες που απαιτείται η σύνδεση τους. Οπότε, αν κάποιος γνωρίζει το email μας ή το username μας τότε με έναν μόνο κωδικό μπορεί να έχει πρόσβαση σε όλες τις σελίδες που έχουμε λογαριασμό, είτε αυτή η σελίδα είναι η τράπεζα μας είτε ένα μαγαζί που κάνουμε αγορές είτε ακόμα και το ίδιο μας το προφίλ στο Facebook.

Ο καλύτερος τρόπος για να αυξηθεί η ασφάλεια είναι ο ορισμός και η δημιουργία πιο πολύπλοκων κωδικών πρόσβασης. Συστήνεται ο κωδικός να είναι μεγάλος σε μήκος, συνήθως πάνω από 12 χαρακτήρες, και να είναι προτάσεις που εύκολα μπορεί να θυμάται ο χρήστης.

Ένας καλός τρόπος είναι η χρήση Online εργαλείων τα οποία προσθέτουν με τυχαίο τρόπο λέξεις και δημιουργούν προτάσεις για τη χρήση τους ως κωδικούς πρόσβασης ή που δημιουργούν κωδικούς βάσει κάποιον επιλογών που ορίζει ο ίδιος ο χρήστης. Στη συνέχεια του κειμένου θα αναφερθούμε σε κάποια παραδείγματα τέτοιων εργαλείων που μπορείτε να χρησιμοποιήσετε.

Είναι σημαντικό να αναφερθεί ότι ένας κωδικός που είναι μεγέθους 12 τουλάχιστον χαρακτήρων χρειάζεται μερικούς αιώνες για να σπάσει από έναν εισβολέα. Με τις σημερινές δυνατότητες των υπολογιστών βέβαια και χρήση πολλών ταυτόχρονα ο χρόνος αυτός μπορεί να μην είναι ο πραγματικός αλλά παραμένει πολύ μεγάλος για να σπάσει. Ενδεικτικά να αναφέρουμε ότι, μετά από έρευνες που έγιναν,  ένα supercomputer (που έχουν την απόδοση όσο 1000 υπολογιστές ταυτόχρονα) μπορεί να σπάσει ένα password των 10 χαρακτήρων σε 3 χρόνια.

Δεν συστήνεται να γίνεται χρήση του ίδιου κωδικού σε όλες τις σελίδες και εφαρμογές όπως επίσης και η σημείωση τους σε απλά αρχεία κειμένου στον υπολογιστή ή σε κάποιο σημειωματάριο.

Επίσης, η χρήση συμβόλων και αριθμών βοηθάει πολύ καθώς ο κωδικός γίνεται πιο πολύπλοκος και συνεπώς πιο δύσκολο για κάποιον τρίτο να τον βρει.

Η χρήση των password generators είναι μια πολύ καλή λύση καθώς οι περισσότεροι δίνουν τη δυνατότητα να ορίσει ο χρήστης τις παραμέτρους του κωδικού και να δημιουργήσει έναν έτοιμο προς χρήση. Η χρήση των generators βοηθάει πολύ καθώς αν χρειάζεται από μια σελίδα η χρήση κεφαλαίων συμβόλων και μικρών θα δημιουργήσει έναν πιο πολύπλοκο κωδικό. Για παράδειγμα σε αυτή την περίπτωση, ένας άνθρωπος θα όριζε τον κωδικό “Letmein!123” ενώ ένας password generator θα όριζε “lwlXgHeaWiq”. Η δεύτερη επιλογή είναι πιο δύσκολο να μαντευτεί παρόλο που δεν έχει ειδικούς χαρακτήρες και σύμβολα.

Η χρήση των password generators δεν απαιτεί ειδικές και εξειδικευμένες γνώσεις από το χρήστη, ενώ υπάρχουν διάφορα εργαλεία online που μπορούν να χρησιμοποιηθούν για την δημιουργία των κωδικών πρόσβασης μας. Ενδεικτικά σας δείχνουμε κάποιους online password generators που μπορείτε να χρησιμοποιήσετε:

Strong password generator (https://www.strongpasswordgenerator.com/) Δίνει τη δυνατότητα ορισμού του μήκους του κωδικού καθώς και κάποιες επιλογές παραμετροποίησης όπως η χρήση “φωνητικών λέξεων”. Με τη χρήση των φωνητικών λέξεων ουσιαστικά εμφανίζει ο generator τους συνδυασμούς των γραμμάτων και των αριθμών σε λέξεις ώστε να είναι πιο εύκολοι οι κωδικοί στην απομνημόνευση.

Norton Password Generator (https://my.norton.com/extspa/idsafe?path=pwd-gen) H Norton, γνωστή στο χώρο της ασφάλειας, έχει δημιουργήσει ένα online εργαλείο για την δημιουργία κωδικών πρόσβασης. Το συγκεκριμένο εργαλείο δίνει πολλές επιλογές όπως είναι η επιλογή του μήκους του κωδικού και η χρήση κεφαλαίων, συμβόλων και αριθμών.

ΧΚpassword (https://xkpasswd.net/s/) O ΧΚpassword είναι ίσως ένας από τους ελάχιστους που δίνουν τόσες πολλές επιλογές στην δημιουργία του κωδικού πρόσβασης. Ένα χαρακτηριστικό που τον διαφοροποιεί από την πλειοψηφία των password generators είναι η επιλογή υπηρεσίας βάσει των κανόνων της οποίας θα δημιουργηθεί ο κωδικός. Μερικά τέτοια παραδείγματα είναι βάσει των κανόνων του AppleID, του WiFi και άλλα.

Τέλος, θα προτείναμε την χρήση password managers για την αποθήκευση και διαχείριση των κωδικών σας. Οι password managers είναι ουσιαστικά προγράμματα τα οποία διαχειρίζονται τους κωδικούς σας και τους αποθηκεύουν κωδικοποιημενους ώστε να μην μπορούν να γίνουν κατανοητοί από κάποιον άλλον. Με τη χρήση των προγραμμάτων αυτών εσείς απλά θα χρειαστεί να γνωρίζετε έναν μόνο κωδικό και αυτός είναι ο κωδικός πρόσβασης στον password manager σας.

Με τη χρήση των password managers δεν είναι ανάγκη να θυμάστε τους κωδικούς σας απ’ έξω καθώς διαθέτουν addons για όλους τους γνωστούς browsers όπου μόλις εισέλθετε σε μια σελίδα αμέσως την αναγνωρίζουν και στην αντίστοιχη φόρμα σας δίνουν τη δυνατότητα αυτόματης συμπλήρωσης.

Επίσης, κάποιοι password managers επιτρέπουν την αυτόματη συμπλήρωση με τυχαίους κωδικούς πρόσβασης κατά την εγγραφή και αυτόματη αποθήκευση τους.

Επειδή υπάρχει η πιθανότητα κάποιος να υποκλέψει τον κωδικό πρόσβασης στον password manager και συνεπώς να έχει και πρόσβαση στους υπόλοιπους, πολλοί από τους password managers δίνουν επιπλέον δικλείδες ασφαλείας σε περίπτωση που παρουσιαστεί ασυνήθιστη κινητικότητα.

Από τους πιο γνωστούς password managers είναι ο LastPass και ο 1Password. Και οι δύο δίνουν τη δυνατότητα δωρεάν χρήσης ενώ με την επί πληρωμή ξεκλειδώνουν περισσότερες επιλογές και λειτουργίες. Και οι δύο έχουν addons για Chrome, Mozilla, Opera και λειτουργούν και με Windows, Linux και MacOS. Επίσης, αξίζει να σημειωθεί ότι αν πέσει στην αντίληψη σας ότι έχει γίνει υποκλοπή του κεντρικού σας κωδικού μπορείτε να ζητήσετε διαγραφή του λογαριασμού σας ενώ ο 1Password αναγνωρίζει τη συσκευή από την οποία συνδέεστε και αν επιθυμείτε να συνδεθείτε από μια νέα τότε χρειάζεται να συμπληρώσετε τον master password που σας δίνεται με την εγγραφή από την εφαρμογή αυτόματα.

Πρέπει να αναφέρουμε ότι έχουν αναφερθεί κατά καιρούς διάφορα κενά ασφαλείας στους password managers. Η κάθε εταιρία όμως κάνει άμεσα όλες τις απαραίτητες κινήσεις για να κλείσει αυτά τα κενά και να αυξήσει την ασφάλεια των υπηρεσιών της. Ακόμα και μετά από αυτές τις αναφορές η χρήση τους θεωρείται πιο ασφαλής σαν λύση από την αποθήκευση απλά των κωδικών σε ένα απλό αρχείο που δεν θα περιέχει κάποια κρυπτογράφηση.

Η Homo Digitalis δεν έχει κανένα όφελος από την πρόταση των ανωτέρω εργαλείων. Σας προτείνουμε τα εργαλεία αυτά ως ασφαλείς εναλλακτικές, δεδομένης της μεγάλης πληθώρας επιλογών τέτοιων εργαλείων. Σημειώνεται ότι πολλά από αυτά τα εργαλεία μπορεί να έχουν ως στόχο να υποκλέψουν τα δεδομένα σας. Συνεπώς, σας συστήνουμε να είστε ιδιαίτερα προσεκτικοί όταν επιλέγετε τέτοια εργαλεία.

*Ο Βύρωνας είναι απόφοιτος του τμήματος Εφαρμοσμένης Πληροφορικής και Πολυμέσων του ΤΕΙ Ηρακλείου. Εργάζεται σε εταιρεία, η οποία δραστηριοποιείται στο χώρο του Web hosting και των domain names. Ασχολείται με την ανάπτυξη ιστοσελίδων και την ασφάλεια. Στο παρελθόν, έχει ασχοληθεί με τα πιστοποιητικά SSL.