Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook
Γράφει η Μαρία Κατσιώτη
Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.
Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;
Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).
Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.
Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).
Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;
Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.
Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:
- «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
- “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
- “Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR)”. Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
- «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».
Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:
- 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
- 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
- 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
- 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
- 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.
Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:
- Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
- Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
- Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
- Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
- Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
- Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).
Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.
Βιβλιογραφία - Αναφορές
Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.
Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.
Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.
Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.
*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.
NIS2, GDPR και Ανθεκτικότητα: Διδάγματα από την Επανάσταση του 1821
Γράφει ο Τάσος Αραμπατζής
Η κυβερνοασφάλεια και η προστασία προσωπικών δεδομένων είναι δύο άρρηκτα συνδεδεμένες έννοιες στον σύγχρονο ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση, μέσα από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και την Οδηγία NIS2, θέτει αυστηρά πλαίσια για την προστασία των προσωπικών δεδομένων, την διαχείριση των κινδύνων φυσικών και ψηφιακών, και την ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών.
Ωστόσο, παρά τις ομοιότητες, πολλές επιχειρήσεις και οργανισμοί εξακολουθούν να αντιμετωπίζουν τις δύο ρυθμίσεις ως ξεχωριστές υποχρεώσεις συμμόρφωσης, με αποτέλεσμα αυξημένο κόστος και πολυπλοκότητα. Ωστόσο, οι μεμονωμένες τακτικές οδηγούν σε σπατάλη πόρων και σε αβέβαια αποτελέσματα, ένα μάθημα που ως χώρα το έχουμε μάθει από την εποχή της Επανάστασης του 1821.
Όταν οι Έλληνες αποφάσισαν να αποκτήσουν ενιαία στρατηγική απέναντι στον κοινό εχθρό, η Επανάσταση πήρε μία εντελώς διαφορετική τροπή οδηγώντας στο ανεξάρτητο Ελληνικό κράτος του 1830. Αυτό το μάθημα βρίσκει απόκριση και στην αντιμετώπιση των προκλήσεων της συμμόρφωσης με μία πληθώρα κανονιστικών απαιτήσεων.
Μια ενιαία στρατηγική διακυβέρνησης μπορεί να συμβάλει στη μείωση αυτών των προκλήσεων, εξασφαλίζοντας ταυτόχρονα υψηλότερο επίπεδο προστασίας δεδομένων και ανθεκτικότητας απέναντι σε κυβερνοαπειλές.
Τι είναι η Οδηγία NIS2 και γιατί είναι σημαντική;
Η Οδηγία NIS2 (Network and Information Security Directive 2) αποτελεί την αναβαθμισμένη εκδοχή του αρχικού NIS, με στόχο την ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας κρίσιμων υποδομών στην Ευρώπη.
Οι βασικές αλλαγές του NIS2 περιλαμβάνουν:
Διεύρυνση του πεδίου εφαρμογής: Περιλαμβάνει πλέον περισσότερους τομείς, όπως η υγειονομική περίθαλψη, η διαχείριση υδάτων, η ενέργεια, οι τράπεζες, οι δημόσιες υπηρεσίες και οι πάροχοι ψηφιακών υπηρεσιών.
Αυστηρότερες απαιτήσεις ασφάλειας: Οι οργανισμοί πρέπει να υιοθετήσουν στρατηγικές διαχείρισης κινδύνων που περιλαμβάνουν μέτρα όπως έλεγχος πρόσβασης, κρυπτογράφηση, διαχείριση εφοδιαστικής αλυσίδας και ανθεκτικότητα σε κυβερνοεπιθέσεις.
Υποχρέωση αναφοράς περιστατικών: Οι επιχειρήσεις πρέπει να ενημερώνουν άμεσα τις αρμόδιες αρχές για κυβερνοεπιθέσεις που μπορούν να επηρεάσουν τη λειτουργία τους.
Αυστηρότερα πρόστιμα: Οι διοικήσεις οργανισμών φέρουν πλέον προσωπική ευθύνη για την εφαρμογή πολιτικών κυβερνοασφάλειας, με κυρώσεις που μπορούν να αγγίξουν το 2% του ετήσιου κύκλου εργασιών ή 10 εκατ. ευρώ.
NIS2 και GDPR: Συγκλίσεις και Αποκλίσεις
Το NIS2 και ο GDPR στοχεύουν αμφότερα στην προστασία δεδομένων, και αυτό είναι απόλυτα λογικό εάν αναλογιστούμε την σημασία των δεδομένων – προσωπικών και εταιρικών – στην διαδικασία λήψης αποφάσεων. Εντούτοις, προσεγγίζουν το ζήτημα από διαφορετικές οπτικές:
Κοινά σημεία | |
Διαχείριση κινδύνων και προστασία δεδομένων | Αμφότεροι οι κανονισμοί απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα προστασίας για την αποφυγή διαρροής ή παραβίασης δεδομένων. |
Υποχρέωση αναφοράς περιστατικών | Οι επιχειρήσεις οφείλουν να αναφέρουν σοβαρά περιστατικά ασφαλείας στις αρμόδιες αρχές (DPA για τον GDPR, CSIRT/National Competent Authorities για το NIS2). |
Πρόστιμα και κυρώσεις | Η μη συμμόρφωση με τις απαιτήσεις μπορεί να οδηγήσει σε υψηλά πρόστιμα και νομικές επιπτώσεις. |
Διαφορές | |
Εστίαση | Ο GDPR προστατεύει τα προσωπικά δεδομένα φυσικών προσώπων, ενώ ο NIS2 εστιάζει στην ασφάλεια των δικτύων και πληροφοριακών συστημάτων κρίσιμων υποδομών. |
Υποχρεώσεις συμμόρφωσης | Ο GDPR απαιτεί την εφαρμογή αρχών προστασίας δεδομένων (data minimization, purpose limitation), ενώ ο NIS2 απαιτεί ενισχυμένα μέτρα κυβερνοασφάλειας (ανθεκτικότητα συστημάτων, διαχείριση εφοδιαστικής αλυσίδας). |
Η Ανάγκη για Ενιαία Διακυβέρνηση της Συμμόρφωσης
Οι επιχειρήσεις που δραστηριοποιούνται σε τομείς που καλύπτονται τόσο από τον GDPR όσο και από το NIS2 συχνά υιοθετούν ξεχωριστές στρατηγικές συμμόρφωσης, κάτι που αυξάνει την πολυπλοκότητα και το λειτουργικό κόστος.
Αντί αυτού, η προσέγγιση της ενιαίας διακυβέρνησης της συμμόρφωσης μπορεί να προσφέρει σημαντικά πλεονεκτήματα:
Μείωση κόστους: Αντί για πολλαπλά, παράλληλα compliance προγράμματα, οι οργανισμοί μπορούν να ενοποιήσουν τις πολιτικές τους και να αξιοποιήσουν κοινές δομές (π.χ. Security Operations Centers – SOCs, Risk Management Frameworks).
Απλοποίηση διαδικασιών: Η δημιουργία ενός ενιαίου προγράμματος διαχείρισης κινδύνου που συνδυάζει τις απαιτήσεις του GDPR και του NIS2 μπορεί να μειώσει τη γραφειοκρατία και να επιταχύνει τη συμμόρφωση.
Ενίσχυση της ανθεκτικότητας: Η ενσωμάτωση πρακτικών κυβερνοασφάλειας στο πλαίσιο προστασίας δεδομένων διασφαλίζει ότι τα προσωπικά δεδομένα προστατεύονται όχι μόνο νομικά, αλλά και τεχνικά.
Ενδυνάμωση του ρόλου των DPOs και CISOs: Αντί να λειτουργούν ανεξάρτητα, οι Υπεύθυνοι Προστασίας Δεδομένων (DPOs) και οι Διευθυντές Κυβερνοασφάλειας (CISOs) μπορούν να συνεργάζονται για την επίτευξη κοινών στόχων.
Η Επιτυχία Βρίσκεται στην Στρατηγική: Τι Μας Διδάσκουν οι Ήρωες του 1821
Η 25η Μαρτίου 1821 σηματοδοτεί τον αγώνα για ελευθερία, ανεξαρτησία και ανθεκτικότητα απέναντι στις απειλές. Σήμερα, οι επιχειρήσεις και οι οργανισμοί βρίσκονται σε μια διαφορετική μάχη—την προστασία των δεδομένων και της επιχειρησιακής τους συνέχειας απέναντι σε κυβερνοαπειλές.
Όπως τότε, η επιτυχία δεν έγκειται μόνο στην άμυνα, αλλά στη στρατηγική, τη συνεργασία και την προετοιμασία. Ο NIS2 και ο GDPR δεν πρέπει να θεωρούνται εμπόδια, αλλά ασπίδα προστασίας απέναντι σε έναν ψηφιακό εχθρό που εξελίσσεται διαρκώς. Η υιοθέτηση μιας ενιαίας στρατηγικής διακυβέρνησης είναι το κλειδί για την ανθεκτικότητα, εξασφαλίζοντας ότι οι επιχειρήσεις θα συνεχίσουν να λειτουργούν απρόσκοπτα, ακόμα και μπροστά στις μεγαλύτερες προκλήσεις.
Τα παρακάτω ερωτήματα θα πρέπει να είναι στο πίσω μέρος του μυαλού όλων των στελεχών των επιχειρήσεων:
- Πώς μπορεί η δική σας επιχείρηση να οχυρωθεί απέναντι στις κυβερνοαπειλές και να διασφαλίσει τη συνέχειά της;
- Ποιες στρατηγικές ανθεκτικότητας μπορείτε να υιοθετήσετε σήμερα για να προστατεύσετε τα δεδομένα και τις υποδομές σας;
Η ιστορία μάς διδάσκει ότι η ανθεκτικότητα και η αποφασιστικότητα είναι το κλειδί για την επιβίωση. Το ίδιο ισχύει και για την ψηφιακή εποχή.
Η Σαρακοστή και η Κυβερνοασφάλεια: Ένα Μάθημα Προετοιμασίας και Ανθεκτικότητας
Γράφει ο Τάσος Αραμπατζής
Η Σαρακοστή είναι μια περίοδος πνευματικής προετοιμασίας, εγκράτειας και εσωτερικού ελέγχου που οδηγεί στην κορύφωση του Πάσχα. Οι χριστιανοί καλούνται να ακολουθήσουν μια πορεία αυτοσυγκράτησης, μετάνοιας και ενίσχυσης της πνευματικότητάς τους μέσα από τη νηστεία, την προσευχή και τη φιλανθρωπία.
Εντούτοις, το άρθρο αυτό δεν είναι για να μιλήσουμε για νηστεία. Αν μεταφέρουμε αυτό το πλαίσιο στον επιχειρηματικό κόσμο, βλέπουμε ότι η προετοιμασία για ισχυρότερη κυβερνοασφάλεια και κανονιστική συμμόρφωση έχει πολλά κοινά σημεία με το νόημα της Σαρακοστής. Και στις δύο περιπτώσεις, ο δρόμος προς την επιτυχία απαιτεί πειθαρχία, αυτοαξιολόγηση και δέσμευση για συνεχή βελτίωση.
Σε αυτό το άρθρο, θα αναλύσουμε πώς οι βασικές αρχές της Σαρακοστής μπορούν να προσφέρουν ένα ισχυρό πλαίσιο προετοιμασίας για τις επιχειρήσεις, προκειμένου να θωρακιστούν απέναντι σε κυβερνοαπειλές και να συμμορφωθούν με τις αυστηρότερες ρυθμίσεις που επιβάλλουν κανονιστικά πλαίσια όπως το NIS2, το DORA και το GDPR.
Αυτοαξιολόγηση: Η Σημασία της Ενδοσκόπησης
Κατά τη Σαρακοστή, οι πιστοί καλούνται να αναλογιστούν τις πράξεις τους και να εξετάσουν πού χρειάζονται βελτίωση. Ομοίως, οι επιχειρήσεις πρέπει να κάνουν μια ειλικρινή ενδοσκόπηση της κυβερνοασφάλειάς τους.
- Πότε ήταν η τελευταία φορά που πραγματοποιήθηκε ένας πλήρης έλεγχος ασφάλειας;
- Υπάρχουν κενά στην πολιτική πρόσβασης ή στην προστασία ευαίσθητων δεδομένων;
- Κατά πόσο το ανθρώπινο δυναμικό είναι εκπαιδευμένο στις βέλτιστες πρακτικές ασφάλειας;
Η περίοδος της Σαρακοστής μάς υπενθυμίζει ότι μόνο με ειλικρινή αυτογνωσία μπορούμε να προχωρήσουμε μπροστά. Για τις επιχειρήσεις, η αυτοαξιολόγηση είναι το πρώτο βήμα προς την ανθεκτικότητα και τη συμμόρφωση.
Πειθαρχία και Εγκράτεια: Ενίσχυση της Ανθεκτικότητας
Η νηστεία της Σαρακοστής δεν αφορά μόνο τη διατροφική αποχή, αλλά και την αυτοσυγκράτηση από κακές συνήθειες και την καλλιέργεια θετικών στάσεων. Αντίστοιχα, οι επιχειρήσεις πρέπει να επιδείξουν πειθαρχία και εγκράτεια στην εφαρμογή των πολιτικών κυβερνοασφάλειας:
- Περιορισμένη πρόσβαση (Zero Trust): Δεν χρειάζονται οι εργαζόμενοι ή οι συνεργάτες πρόσβαση σε όλα τα δεδομένα. Η προσέγγιση Zero Trust απαιτεί αυστηρή διαχείριση ταυτοτήτων και δικαιωμάτων.
- Ελεγχόμενη χρήση τεχνολογιών: Οι ανεξέλεγκτες cloud εφαρμογές και οι shadow ΑΙ και IT πρακτικές μπορούν να εκθέσουν την εταιρεία σε κινδύνους. Μια πειθαρχημένη πολιτική περιορίζει τους τεχνολογικούς κινδύνους και προστατεύει από επιθέσεις χωρίς να επηρεάζει την αποδοτικότητα και την παραγωγικότητα.
- Συμμόρφωση με τους κανονισμούς: Οι οργανισμοί πρέπει να αντιστέκονται στον πειρασμό των “γρήγορων λύσεων” που παρακάμπτουν τη συμμόρφωση. Μόνο με πειθαρχημένη εφαρμογή των προτύπων ασφάλειας θα αποφύγουν πρόστιμα και επιθέσεις.
Όπως η νηστεία οδηγεί σε εσωτερική ενδυνάμωση, έτσι και η συνεπής εφαρμογή πολιτικών κυβερνοασφάλειας ενισχύει την ανθεκτικότητα των επιχειρήσεων απέναντι στις απειλές.
Μετάνοια και Διορθωτικές Ενέργειες
Η Σαρακοστή είναι περίοδος μετάνοιας και αλλαγής, όπου οι άνθρωποι αναγνωρίζουν τα λάθη τους και προσπαθούν να τα διορθώσουν. Το ίδιο πρέπει να κάνουν και οι επιχειρήσεις.
Αν ένας οργανισμός έχει ήδη δεχθεί κυβερνοεπίθεση ή έχει παραβιάσει κανονισμούς, η «μετάνοια» μεταφράζεται σε διορθωτικές ενέργειες:
- Ανάλυση περιστατικών: Τι πήγε λάθος; Πώς μπορεί να αποφευχθεί στο μέλλον;
- Βελτίωση πολιτικών και διαδικασιών: Αν τα συστήματα απέτυχαν να σταματήσουν ή να περιορίσουν μία επίθεση, μήπως το πρόβλημα είναι διαδικασίες και απαιτείται αναβάθμιση της στρατηγικής ασφαλείας;
- Εκπαίδευση προσωπικού: Πολλές επιθέσεις συμβαίνουν λόγω ανθρώπινων λαθών. Πώς αισθάνονται οι υπάλληλοί σας απέναντι στην κυβερνοασφάλεια; Ένα καλά εκπαιδευμένο προσωπικό μπορεί να μειώσει τις πιθανότητες λαθών και παραβιάσεων.
Η αληθινή «μετάνοια» για μια επιχείρηση είναι να μαθαίνει από τα λάθη της και να γίνεται καλύτερη.
Φιλανθρωπία και Κοινοτική Ευθύνη: Διαμοιρασμός της Γνώσης στην Κυβερνοασφάλεια
Η Σαρακοστή προτρέπει τους πιστούς να ασκούν φιλανθρωπία και αλληλεγγύη. Στον κόσμο της κυβερνοασφάλειας, αυτό μεταφράζεται σε διαμοιρασμό γνώσης και συνεργασία για τη θωράκιση του οικοσυστήματος.
- Προγράμματα ενδυνάμωσης στην κυβερνοασφάλεια: Οι επιχειρήσεις μπορούν να διοργανώνουν εκπαιδευτικά σεμινάρια όχι μόνο για το προσωπικό τους, αλλά και για συνεργάτες και πελάτες.
- Συνεργασία με φορείς κυβερνοασφάλειας: Η ανταλλαγή πληροφοριών για απειλές (threat intelligence sharing) μεταξύ εταιρειών μπορεί να αποτρέψει κυβερνοεπιθέσεις. Η συλλογική άμυνα είναι το καλύτερο αντίμετρο στις επιθέσεις.
- Στήριξη startup και μικρομεσαίων επιχειρήσεων: Η λογιστική αλυσίδα αποτελεί ένα «αγαπημένο» στόχο των επιθέσεων. Οι μεγάλες εταιρείες μπορούν να βοηθήσουν μικρότερες επιχειρήσεις να βελτιώσουν την ασφάλειά τους, δημιουργώντας ένα πιο ασφαλές επιχειρηματικό περιβάλλον για όλους.
Όπως η φιλανθρωπία προσφέρει στήριξη στην κοινωνία, ειδικά σε δύσκολες περιόδους, έτσι και η ανταλλαγή γνώσεων και πληροφοριών στην κυβερνοασφάλεια ενισχύει την προστασία όλων.
Η Σαρακοστή ως Πλαίσιο Κυβερνοασφάλειας
Η Σαρακοστή δεν είναι απλώς μια θρησκευτική παράδοση, αλλά ένα πλαίσιο προετοιμασίας και ενίσχυσης που μπορεί να εφαρμοστεί και στην κυβερνοασφάλεια.
- Αυτοαξιολόγηση → Τακτικός έλεγχος ασφάλειας.
- Πειθαρχία και εγκράτεια → Συνεπής εφαρμογή πολιτικών ασφάλειας.
- Μετάνοια και βελτίωση → Μάθηση από λάθη και αναπροσαρμογή στρατηγικών.
- Φιλανθρωπία και συνεργασία → Κοινοτική ευθύνη για τη διάδοση της γνώσης.
Όπως η Σαρακοστή προετοιμάζει τους πιστούς για την Ανάσταση, έτσι και η οργανωμένη προετοιμασία στην κυβερνοασφάλεια εξασφαλίζει την επιχειρησιακή συνέχεια και ανθεκτικότητα απέναντι στις κυβερνοαπειλές του μέλλοντος.
Καλή Σαρακοστή!
Πώς να διασφαλίσεις τον ψηφιακό σου εαυτό σε δημόσιους και κοινόχρηστους χώρους
Γράφει o Γιάννης Ντόκος*
Έχεις ποτέ αναρωτηθεί: “Πού σταματάει ο “φυσικός” μου εαυτός, και πού ξεκινάει ο ψηφιακός;”; Μην εκπλήσσεσαι, αν δυσκολεύεσαι να απαντήσεις. Με καθημερινά τεχνολογικά άλματα να φέρνουν παντού κινητά τηλέφωνα, έξυπνα ρολόγια και φριτέζες με wifi, τα όρια μεταξύ του ψηφιακού και απτού μας κόσμου ολοένα θολώνουν. Και, σαν να μην έφτανε η παραπάνω σύγχυση, προσβολές στον φυσικό κόσμο επιφέρουν μεταβολές στον ψηφιακό, και τούμπαλιν. Πόσω δε μάλλον, όταν βρισκόμαστε σε χώρους και περιβάλλοντα που χρησιμοποιούνται από περισσότερα, καλόβουλα αλλά και κακόβουλα, άτομα. Πώς όμως μπορούμε να φροντίσουμε, ούτως ώστε η παρουσία μας σε φυσικά και ψηφιακά δημόσιους χώρους να γίνεται με τρόπο ασφαλή; Παρακάτω θα σου δείξω πόσο εύκολα μπορούν να πληγούν τα ψηφιακά σου όρια στον φυσικό κόσμο, και πώς να μείνεις ασφαλής σε αυτόν.
Το δωρεάν wifi έχει ένα κόστος
Παραδέξου το, το έχεις κάνει ουκ ολίγες φορές - είσαι έξω, και δε θες να χαλάσεις δεδομένα για να συνδεθείς στο ίντερνετ. Ευτυχώς, είσαι σε καφετέρια με ανοιχτό ή δημόσια διαθέσιμο wifi! Είναι η τυχερή σου μέρα, αλλά μπορεί να μετατραπεί στην χειρότερή σου μέρα εξίσου εύκολα. Γιατί ομώς; Όπως εσύ έχεις δωρεάν πρόσβαση στο δίκτυο της καφετέριας προκειμένου να χαζέψεις στο ίντερνετ, την ίδια πρόσβαση θα μπορούσε να έχει κάποιος ο οποίος ενδιαφέρεται για τα δεδομένα σου. Το ΑΦΜ σου, τους κωδικούς στους λογαριασμούς σου (τραπεζικούς και μη), τις επικοινωνίες σου. Και με την πρόσβαση που έχουν στο κοινόχρηστο δίκτυο, οι τρόποι να σε βλάψουν είναι ατέλειωτοι - ανακατεύθυνση των στοιχείων σου, κλοπή ταυτότητας, ψεύτικα σάιτ της τράπεζας της επιλογής σου. Μετά θα τρέχεις, και δεν θα αξίζει τα λίγα mb που σώζεις με το δωρεάν ίντερνετ.
Τι να κάνω;
Όσο απλά μπορείς να πάθεις κακό, τόσο απλό είναι να προστατευτείς από αυτό. Ενδεικτικά, πράξε ώς εξής:
● Μη χρησιμοποιείς το δημόσια διαθέσιμο δίκτυο: Είναι ελκυστικό, αλλά αν μπορείς και δεν επείγει, μη το χρησιμοποιήσεις. Χρησιμοποίησε τον πάροχο της επιλογής σου για να συνδεθείς μέσω κινητής τηλεφωνίας, ή περίμενε να γυρίσεις σπίτι και να μπεις μέσω του δικού σου (ελπίζω ασφαλούς) wifi.
● Αν πρέπει οπωσδήποτε να συνδεθείς στο δημόσιο δίκτυο, συνδέσου μέσω VPN: Με αυτό τον τρόπο, τα δεδομένα σου ταξιδεύουν μέσα σε ένα κρυπτογραφημένο τούνελ που δύσκολα προσβάλλεται από κακόβουλα άτομα.
● Πρόσεχε σε ποιές υπηρεσίες συνδέεσαι και τί δεδομένα μοιράζεσαι: Αν θες να ολοκληρώσεις τραπεζικές συναλλαγές διαδικτυακά, καλύτερα να μην το κάνεις από το wifi της καφετέριας ή του αεροδρομίου.
Μήπως σε παρακολουθούν;
Χρησιμοποιώ τη δημόσια συγκοινωνία συχνά. Όταν δεν έχω κάτι να κάνω, μου αρέσει να παρακολουθώ τους γύρω μου (όχι δόλια, το ορκίζομαι!). Μου έχει τύχει ουκ ολίγες φορές να παρατηρήσω κάποιον επιβάτη, ο οποίος όντας απορροφημένος στο κινητό ή τον υπολογιστή του, προσελκύει πολλά βλέμματα στην οθόνη του. Τα βλέμματα κάποιες φορές δεν αποστρέφονται, είναι επίμονα, και ενίοτε οδηγούν σε μηχανορραφίες, σκέψεις και σημειώσεις από τον δράστη. Με τον ίδιο τρόπο, μπορεί και από σένα να αποσπάσουν το pin της συσκευής ή τον κωδικό της εφαρμογής της τράπεζάς σου, ή ίσως το pin της κάρτας σου όταν κάνεις ανάληψη, και να τα απομνημονεύσουν ή να τα σημειώσουν κάπου. Την πάτησες…
Το φαινόμενο shoulder surfing (ελληνιστί “οπτική υποκλοπή”) δεν είναι κάτι καινούργιο, αλλά είναι εξαιρετικά αποτελεσματικό, διότι εκμεταλλεύεται την αφηρημάδα ή την αφέλειά μας. Και, κακά τα ψέματα, σε μία χώρα όπου το κοινωνικό ενδιαφέρον (ήτοι κουτσομπολιό) “πάει σύννεφο”, και να κοιτάζει ο άλλος, δε δίνουμε σημασία.
Τι να κάνω;
Αν βρίσκεσαι σε δημόσιο χώρο περιτριγυρισμένος από περίεργα βλέμματα, οι παρακάτω ενέργειες μπορεί να βοηθήσουν:
● Γίνε λίγο καχύποπτος/η:Μην εμπιστεύεσαι άτομα γύρω σου τα οποία δεν ξέρεις (καλά). Σε δημόσια σημεία, καθένας μπορεί να έχει αγαθά ή μοχθηρά κίνητρα. Κάλυψε το pin σου στην τράπεζα, ή εγκατάστησε μια οθόνη προστασίας ιδιωτικότητας στο κινητό ή τον υπολογιστή σου (είναι καλή επένδυση!). Όπως λένε στο χωριό μου, zero trust!
● Κοίτα τους κι εσύ: Τώρα παίζεις με την ψυχολογία τους. Αν κάποιος φαίνεται να σε κοιτάει ύποπτα με σκοπό να σου αποσπάσει δεδομένα και στοιχεία, ανταπόδωσε το βλέμμα. Όχι με μανία (μη βρεις το μπελά σου), αλλά με τρόπο που να δείχνει ό,τι έχεις επίγνωση της κατάστασης. Συνήθως αυτό αρκεί να τους κάνει να σταματήσουν.
● Play it safe: Όπως και στη παραπάνω περίπτωση, αν θεωρείς οτι τραβάς τα βλέμματα πάνω σου (με σκοπό να σου υποκλέψουν τα στοιχεία, προφανώς!), καλύτερα να αποφύγεις να ανοίξεις εκείνο το αρχείο που αναγράφει το ΑΦΜ, την ημερομηνία γέννησής σου και τον αριθμό τηλεφώνου σου.
Τα πράγματά σου και τα μάτια σου!
Φαντάσου το εξής σενάριο: βρίσκεσαι στο σινεμά και θες επειγόντως να χρησιμοποιήσεις την τουαλέτα. Αφήνεις το κινητό σου πάνω στο κάθισμα. Τί μπορεί να πάει στραβά; Πολλά μπορούν να συμβούν.. Κάποιος κακόβουλος μπορεί να έχει βάλει στο μάτι το τηλέφωνό σου, και με την πρώτη ευκαιρία να το αρπάξει. Ίσως δουλεύεις remote από μια καφετέρια και θες να κάνεις ένα διάλειμμα. Θα άφηνες τον υπολογιστή σου ξεκλείδωτο πάνω στο τραπέζι; Ελπίζω πως όχι.
Οι προσωπικές μας συσκευές είναι σαν την κεντρική πόρτα του σπιτιού μας - αν είναι ανοιχτές ή ξεκλείδωτες, προσκαλούν πιθανούς εγκληματίες να εισβάλλουν και να υφαρπάξουν χρήσιμα για αυτούς στοιχεία. Μη τους δώσεις αυτή τη δυνατότητα.
Τι να κάνω;
Αν βρίσκεσαι σε δημόσιο χώρο, όπου η συσκευή σου κινδυνεύει να κλαπεί ή να διαρραγεί, κάνε τα ακόλουθα:
● Πάρε τη συσκευή μαζί σου: Μην αφήνεις ανεπίβλεπτες τις συσκευές σου, εάν υπάρχει ο παραμικρός κίνδυνος απώλειας ή κλοπής. Και προφανώς, μην την αφήνεις σε ανοιχτή θέα, ούτε καν μέσα στο κλειδωμένο σου αυτοκίνητο. Δες ένα παράδειγμα εδώ
● Κλείδωσέ την: Πάντα κλείδωνε τη συσκευή σου όταν δε βρίσκεσαι κάπου κοντά. Αυτό δε θα σε σώσει από την απώλεια δεδομένων, αλλά τουλάχιστον θα κερδίσεις λίγο χρόνο.
● Ενεργοποίησε τη δυνατότητα απομακρυσμένης διαγραφή: Ως ύστατο μέτρο, εάν είναι τεχνικά εφικτό, ενεργοποίησε τη δυνατότητα να διαγράψεις τα περιεχόμενα της συσκευής σου εξ αποστάσεως.
*Ο Γιάννης Ντόκος είναι IT GRC Expert.
Συμμόρφωση στην Εποχή της Τεχνητής Νοημοσύνης και της Κυβερνοασφάλειας: Πρόκληση ή Ευκαιρία;
Γράφει o Τάσος Αραμπατζής
Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.
Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;
Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας
Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.
Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.
Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.
Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.
- EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
- NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.
Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.
Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος
Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;
Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:
- Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
- Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;
Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.
Βελτιώνουν τα Πρόστιμα την Ασφάλεια;
Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.
Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:
“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”
Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;
Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.
Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;
Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;
Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:
- Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
- Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.
Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.
Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:
“Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.”
Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;
Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:
- Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
- Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.
Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.
Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα
Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.
Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.
Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι
Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση - ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.
Ποια θα είναι η δική σας προσέγγιση;
Η Ψηφιοποίηση της Ελληνικής Δικαιοσύνης Υπό το Πρίσμα της Τεχνητής Νοημοσύνης
Γράφει η Καλλιόπη Τερζίδου*
Η ψηφιοποίηση των δικαστηρίων σε επίπεδο διοίκησης και υπηρεσιών δεν ευδοκίμησε νωρίς στην Ελλάδα λόγω έλλειψης συστηματικού σχεδιασμού και καταφυγής σε πρόχειρες και πρόσκαιρες λύσεις για την επίλυση προβλημάτων [1]. Πλέον, οι δικηγόροι μπορούν να πραγματοποιούν μια σειρά διαδικασιών ηλεκτρονικά, όπως της αναζήτησης της πορείας πολιτικών υποθέσεων και των πινακίων της πολιτικής διαδικασίας, μέσω της Πύλης Ψηφιακών Υπηρεσιών Δικαστηρίων και Εισαγγελιών – ΟΣΔΔΥ (solon.gov.gr). Οι πολίτες έχουν πρόσβαση στις ίδιες ηλεκτρονικές υπηρεσίες με τους δικηγόρους (με εξαίρεση την κατάθεση εγγράφων), στην ψηφιακή επίδοση εγγράφων (N. 4937/2022) και στην υπηρεσία τηλεδιασκέψεων για Πολιτικά, Ποινικά και Διοικητικά Δικαστήρια, μεταξύ άλλων.
Οι πρωτοβουλίες αυτές για την ψηφιοποίηση των δικαστικών υπηρεσιών είναι σημαντικές αλλά δεν είναι πάντα αποτελεσματικές. Σύμφωνα με στοιχεία της Ένωσης Δικαστών και Εισαγγελέων [2], τα ποσοστά χρήσης των πλατφορμών του ΟΣΔΔΥ εμφανίστηκαν αρχικά χαμηλά σε σχέση με την προτίμηση των πολιτών στη δια ζώσης εξυπηρέτηση τους. Περαιτέρω, η νομολογία δεν είναι εξίσου προσβάσιμη στο ευρύ κοινό όπως στους δικηγόρους, αφού δε βρίσκεται συγκεντρωμένη σε ένα περιορισμένο αριθμό ιστοσελίδων. Έτσι ο πολίτης αναγκάζεται να επισκέπτεται την ιστοσελίδα του δικαστηρίου για το οποίο ενδιαφέρεται, με κίνδυνο να μην βρει αυτό που ψάχνει. Αυτό συμβαίνει καθώς πολλές φορές τα δικαστήρια δεν δημοσιοποιούν όλες τις αποφάσεις, για παράδειγμα λόγω μη ανωνυμοποίησης των αποφάσεων, εμπλοκής ανηλίκων στην υπόθεση, εφαρμογής συστήματος προτεραιοποίησης αποφάσεων προς δημοσιοποίηση, ή και αναποτελεσματικής διοίκησης των δικαστηρίων.
Για την αντιμετώπιση αυτών των περιορισμών, η Διαρκής Επιστημονική Επιτροπή του Υπουργείου Δικαιοσύνης για την Τεχνητή Νοημοσύνη (ΤΝ) διερευνά τις πιθανές εφαρμογές συστημάτων ΤΝ στα δικαστήρια, καθώς η ΤΝ υπόσχεται την αποτελεσματικότερη αυτοματοποίηση διαδικασιών και την αμεσότερη αλληλεπίδραση των συστημάτων με τους χρήστες. Η Επιτροπή υποβάλει προτάσεις για νομοθετικές μεταρρυθμίσεις σχετικά με την εισαγωγή συστημάτων ΤΝ στα δικαστήρια και με την καθιέρωση δικλείδων ασφαλείας των δικαιωμάτων των πολιτών.
Σύμφωνα με τις διαθέσιμες πληροφορίες της Διαρκούς Επιτροπής, δεν σχεδιάζεται ή εφαρμόζεται κάποιο σύστημα ΤΝ ‘υψηλού κινδύνου’ στα ελληνικά δικαστήρια, δηλαδή κάποιο σύστημα που μπορεί να επηρεάσει τη δημοκρατία, το κράτος δικαίου και τις ατομικές ελευθερίες, όπως το δικαίωμα στη δίκαιη δίκη [3]. Μόνη εξαίρεση μπορεί να θεωρηθεί το σχέδιο υλοποίησης συστήματος ΤΝ για τον εντοπισμό από τους ελεγκτές του Ελεγκτικού Συνεδρίου πιθανών παρατυπιών στην καταβολή δαπανών ή στην είσπραξη εσόδων του ελεγχόμενου φορέα [4]. Το εν λόγω σύστημα ΤΝ θα επιτρέπει στους ελεγκτές να επικεντρώνονται στις υποθέσεις εκείνες που παρουσιάζουν μεγάλη πιθανότητα παρατυπίας στη λειτουργία των συστημάτων οικονομικής διαχείρισης των ελεγχόμενων φορέων. Στο βαθμό που το συγκεκριμένο σύστημα ελέγχει κάποια πραγματικά περιστατικά έναντι μιας νομικής βάσης και διεξάγει συμπεράσματα για πιθανές παρατυπίες, μπορεί να θεωρηθεί ως σύστημα υψηλού κινδύνου σύμφωνα με το Παράρτημα ΙΙΙ, παράγραφος 8 του Κανονισμού για την ΤΝ. Ουσιαστικά, ο υψηλός κίνδυνος συνίσταται στην υποκατάσταση από το σύστημα ΤΝ της κρίσης των ελεγκτών ως προς την πιθανότητα ή μη παρατυπίας, ώστε να περιορίζεται η ανθρώπινη παρέμβαση και εποπτεία της λειτουργίας του συστήματος. Έτσι, πρέπει να εφαρμόζονται οι δικλείδες ασφαλείας για την ορθή εκπαίδευση και λειτουργία των συστημάτων ΤΝ κατά τα Άρθρα 8-15 του Κανονισμού.
Σε κάθε περίπτωση, η Διαρκής Επιτροπή τείνει στην ενσωμάτωση συστημάτων ΤΝ για την υποστήριξη ‘αμιγώς βοηθητικών διοικητικών δραστηριοτήτων,’ όπως τις χαρακτηρίζει ο Κανονισμός στο Προοίμιο 61. Αυτό διαφαίνεται από τα προβλεπόμενα σχέδια ενσωμάτωσης συστημάτων ΤΝ για σκοπούς όπως η ανωνυμοποίηση των δικαστικών αποφάσεων και ο έλεγχος της αναφοράς του δικηγόρου ως «Παραστάς» στη δικαστική απόφαση ώστε να του δίνεται πρόσβαση σε δικαστικά έγγραφα [5]. Το κοινό στοιχείο αυτών των συστημάτων είναι η επεξεργασία δικαστικών εγγράφων και η (περιορισμένη) αυτοματοποίηση διοικητικών δραστηριοτήτων με στόχο την υποστήριξη των δικαστικών υπαλλήλων και την επιτάχυνση της δίκης.
Ωστόσο, ο μεγαλύτερος κίνδυνος για την επιτυχή ενσωμάτωση συστημάτων ΤΝ στη διοίκηση των δικαστηρίων είναι η εφαρμογή διαφορετικών αλγοριθμικών συστημάτων ή και πρακτικών ανά δικαστήριο. Για παράδειγμα, η διαφορετικοί τρόποι σύνταξης των δικαστικών αποφάσεων ανά δικαστήριο ενδέχεται να μπερδεύουν το αλγοριθμικό σύστημα, καθώς έχει εκπαιδευτεί να επεξεργάζεται ένα συγκεκριμένο μοτίβο αποφάσεων ώστε να μη δύναται να λειτουργήσει σε διαφορετικό πλαίσιο. Ένας ακόμη κίνδυνος για την επιτυχή ενσωμάτωση συστημάτων ΤΝ είναι η έλλειψη μηχανογραφημένων εγγράφων τα οποία το αλγοριθμικό σύστημα μπορεί να επεξεργαστεί για να εκπαιδευτεί και να λειτουργήσει αποτελεσματικά. Έτσι, συχνά ένας ή μερικοί δικαστικοί υπάλληλοι αναλαμβάνουν κατά χειρωνακτικό τρόπο (χωρίς την υποστήριξη ψηφιακών μέσων) την επεξεργασία εγγράφων, όπως οι δικαστικές αποφάσεις, για την εκτέλεση διοικητικών δραστηριοτήτων, όπως η ανωνυμοποίηση των αποφάσεων, υποβαθμίζοντας έτσι την αποτελεσματικότητα και την επιτάχυνση των διοικητικών διαδικασιών .
Μελλοντικές πρωτοβουλίες ενσωμάτωσης συστημάτων ΤΝ στη διοίκηση των δικαστηρίων πρέπει να ελέγχονται για την ύπαρξη υψηλού κινδύνου, κυρίως όσον αφορά το δικαίωμα των πολιτών στη δίκαιη δίκη. Γι’ αυτόν το λόγο, οι υπεύθυνοι φορείς στον τομέα της δικαιοσύνης πρέπει να διενεργούν εκτιμήσεις αντικτύπου σε τακτά χρονικά διαστήματα, ώστε να εκτιμώνται οι πιθανοί κίνδυνοι που ενέχουν τα επιμέρους συστήματα ΤΝ για τα δικαιώματα των πολιτών, να αποτιμώνται οι επιπτώσεις της πραγματοποίησης τέτοιων κινδύνων, και να προβλέπονται μέτρα αντιμετώπισης τους. Στις περισσότερες περιπτώσεις, η επέμβαση προγραμματιστών θα είναι αρκετή για την επίλυση λειτουργικών ζητημάτων. Ωστόσο, η λειτουργία συστημάτων ΤΝ πρέπει να αντιμετωπίζεται ολιστικά, ώστε όχι μόνο οι προγραμματιστές αλλά και οι υπεύθυνοι φορείς και οι χρήστες των συστημάτων να συμμετέχουν στον σχεδιασμό, στην υλοποίηση και στην αξιολόγηση της λειτουργίας τους στα δικαστήρια. Μόνο μέσω ενός αποτελεσματικού και ουσιαστικού διαλόγου μεταξύ όλων των εμπλεκόμενων φορέων μπορεί να επιτευχθεί μια ομαλή και ασφαλής ενσωμάτωση συστημάτων ΤΝ στη δικαιοσύνη, με τελικό αποδέκτη των ωφελειών τους τους πολίτες.
Επιπρόσθετα, θα πρέπει να παρέχεται συνδρομή στους χρήστες των συστημάτων ΤΝ, ώστε να εφοδιάζονται με ψηφιακές δεξιότητες για την ανεμπόδιστη χρήση των συστημάτων που αφορούν είτε τη διοίκηση των δικαστηρίων είτε τις δικαστικές υπηρεσίες. Η διαλειτουργικότητα των ψηφιακών πλατφορμών και μητρώων (ως τώρα περιορισμένη μέσω gov.gr και TAXISNET) διευκολύνει περαιτέρω την πρόσβαση των χρηστών με ένα κλικ στις ηλεκτρονικές υπηρεσίες και την ταυτόχρονη ενημέρωση μιας υπόθεσης με κάθε καινούρια ενέργεια, ωθώντας τους χρήστες να προτιμούν την ηλεκτρονική έναντι της φυσικής οδού.
* Η Καλλιόπη Τερζίδου είναι Υποψήφια Διδάκτωρ της Νομικής Σχολής του Πανεπιστημίου του Λουξεμβούργου. Η έρευνα της υποστηρίζεται από το Fonds National de la Recherche (PRIDE 19/14268506).
[1] Θ. Φορτσάκης, Συμβολή για την Αποτελεσματικότητα της Δικαιοσύνης, Νομική Βιβλιοθήκη, Μάιος 2015, 233-234.
[2] Ένωση Δικαστών και Εισαγγελέων, Η Ελληνική Δικαιοσύνη το 2040, Οκτώβριος 2021, 22-25.
[3] Κανονισμός (ΕΕ) 2024/1689 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Ιουνίου 2024, για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την τεχνητή νοημοσύνη.
[4] Διαρκής Επιστημονική Επιτροπή Του ΥΔ Για Την Τεχνητή Νοημοσύνη, Πρακτικό συνεδρίασης 28 Μαΐου 2024, 21.
[5] Δρ. Ηλίας Λυμπερόπουλος, Εφαρμογές NLP-AI Πρωτοδικείου Αθηνών.
Η Ψηφιοποίηση της Δικαιοσύνης στην Ευρωπαϊκή Ένωση μέσω της Τεχνητής Νοημοσύνης
Γράφει η Καλλιόπη Τερζίδου*
Η Ευρωπαϊκή Ένωση (ΕΕ) είναι ενεργή εδώ και αρκετά χρόνια στην θέσπιση κανόνων και συστάσεων για την ψηφιοποίηση της διοίκησης των δικαστηρίων, μεταξύ άλλων μέσω συστημάτων ΤΝ. Κύρια προτεραιότητά της είναι η διασφάλιση του σεβασμού του δικαιώματος σε μία δίκαιη δίκη, εξασφαλίζοντας την ελεύθερη και πραγματική προσφυγή των πολιτών σε ανεξάρτητα και αμερόληπτα δικαστήρια. Η δράση αυτή της ΕΕ για την ψηφιοποίηση της δικαιοσύνης στα Κράτη Μέλη αντικατοπτρίζεται στον Κανονισμό για την ΤΝ. Το Προοίμιο 61 του Κανονισμού διακρίνει μεταξύ συστημάτων που προορίζονται για «αμιγώς βοηθητικές διοικητικές δραστηριότητες», όπως η ανωνυμοποίηση δικαστικών αποφάσεων, και συστημάτων που προορίζονται ή επηρεάζουν στην πράξη την απονομή δικαιοσύνης, δηλαδή συστημάτων για «την παροχή συνδρομής σε δικαστικές αρχές κατά την έρευνα και την ερμηνεία των πραγματικών περιστατικών και του νόμου και κατά την εφαρμογή του νόμου σε συγκεκριμένο σύνολο πραγματικών περιστατικών» [1].
Στη δεύτερη περίπτωση, τα συστήματα ΤΝ χαρακτηρίζονται ως ‘υψηλού κινδύνου,’ διότι μπορεί να έχουν σημαντικό αντίκτυπο στη δημοκρατία, το κράτος δικαίου και τις ατομικές ελευθερίες, όταν υποκαθιστούν τους δικαστές στην τελική λήψη αποφάσεων. Τα συγκεκριμένα συστήματα επιτρέπεται να χρησιμοποιούνται από τις δικαστικές αρχές, ωστόσο οι πάροχοι τους πρέπει να συμμορφώνονται με τις απαιτήσεις των Άρθρων 8-15 του Κανονισμού. Αυτές οι απαιτήσεις αφορούν θέματα διαχείρισης κινδύνων, όπως οι διακρίσεις, καθ’ όλη τη διάρκεια λειτουργίας των συστημάτων, προστασίας (προσωπικών) δεδομένων, διαφάνειας και ανθρώπινης εποπτείας.
Σε κάθε περίπτωση, η διάκριση αυτή του Προοιμίου περισσότερο μπερδεύει παρά βοηθάει τους εθνικούς νομοθέτες (και κατ’ επέκταση τις δικαστικές αρχές) στην επιτυχή ψηφιοποίηση της διοίκησης των δικαστηρίων μέσω συστημάτων ΤΝ. Συγκεκριμένα, το Προοίμιο 61 του Κανονισμού προβαίνει σε μια εντελώς επιφανειακή κατηγοριοποίηση των συστημάτων ΤΝ για τον τομέα της δικαιοσύνης, με σοβαρές ερμηνευτικές ασάφειες. Αρχικά, δεν είναι ξεκάθαρο εάν τα συστήματα ΤΝ υψηλού κινδύνου πρέπει σωρευτικά να διενεργούν τις λειτουργίες της ‘έρευνας’ και ‘ερμηνείας’ των πραγματικών περιστατικών και του νόμου και της ‘εφαρμογής’ του νόμου στα πραγματικά περιστατικά. Εάν το εν λόγω σύστημα ΤΝ εκτελεί μόνο μία από αυτές τις λειτουργίες, π.χ. την ερμηνεία σχετικής νομοθεσίας ή/και νομολογίας στα πλαίσια διερεύνησης μια υπόθεσης από τον δικαστή χωρίς όμως την εφαρμογή της στα πραγματικά περιστατικά, τότε το συγκεκριμένο σύστημα δεν μπορεί να χαρακτηριστεί υψηλού κινδύνου με βάση το γράμμα του νόμου.
Τελολογικά, όμως, είναι εύλογο να χαρακτηριστεί αυτοτελώς ως ‘υψηλού κινδύνου’ ένα σύστημα ΤΝ που περιορίζεται στην ερμηνεία του νόμου, δεδομένου ότι ο δικαστής μπορεί να επηρεαστεί από τις συστάσεις του συστήματος (πιθανώς εσφαλμένες ή άλλως προβληματικές) κατά τη δικαστική του κρίση και έτσι να πάψει να είναι ανεξάρτητος. Στην τελική, η μη απαγόρευση χρήσης συστημάτων ΤΝ που υποστηρίζουν την εφαρμογή του νόμου σε συγκεκριμένο σύνολο πραγματικών περιστατικών είναι αμφιλεγόμενη επιλογή του νομοθέτη, ειδικά όταν το Προοίμιο 61 αναφέρει ότι «η τελική λήψη αποφάσεων πρέπει να παραμείνει δραστηριότητα κατευθυνόμενη από τον άνθρωπο». Έτσι, τίθενται ερωτήματα ως προς την έκταση της ‘συνδρομής’ που τα συστήματα ΤΝ πρέπει να προσφέρουν στους δικαστές.
Άλλη μια ερμηνευτική ασάφεια αφορά την αναγνώριση συστημάτων ΤΝ που προορίζονται για ‘αμιγώς βοηθητικές’ διοικητικές δραστηριότητες και τα οποία αντιδιαστέλλονται από τα συστήματα ΤΝ ‘υψηλού κινδύνου.’ Αν και το Προοίμιο 61 αναφέρει μια σειρά παραδειγμάτων διοικητικών δραστηριοτήτων, συμπεριλαμβανομένης της ψευδωνυμοποίησης των αποφάσεων, δεν είναι ξεκάθαρο τι εννοείται με τους προσδιορισμούς ‘αμιγώς’ και ‘βοηθητικές.’ Θα μπορούσε, για παράδειγμα, να ειπωθεί ότι η ανάθεση υποθέσεων στους δικαστές είναι μια αμιγώς βοηθητική διοικητική διαδικασία λόγω της επαναλαμβανόμενης και τυποποιημένης φύσης της δραστηριότητας αυτής, ωστόσο ένας τέτοιος χαρακτηρισμός θα αγνοούσε τις αρνητικές επιπτώσεις της αποτυχημένης ανάθεσης μιας υπόθεσης από ένα σύστημα ΤΝ. Κάτι τέτοιο μπορεί να συμβεί όταν το σύστημα αγνοεί μια υπάρχουσα σύγκρουση συμφερόντων, έτσι ώστε να απειλείται η αμεροληψία του δικαστή και κατ’ επέκταση το δικαίωμα στη δίκαιη δίκη, μετατρέποντας έτσι το σύστημα ΤΝ σε ‘υψηλού κινδύνου.’
Περαιτέρω ερωτήματα ανακύπτουν αναφορικά με την χρήση από δικαστές συστημάτων ΤΝ γενικού σκοπού (π.χ. ChatGPT) ή συστημάτων που προορίζονται (από τον πάροχο) για χρήση από δικηγόρους και όχι για «για χρήση από δικαστική αρχή ή για λογαριασμό δικαστικής αρχής,» όπως αναφέρει το Προοίμιο 61. Σε μια τέτοια περίπτωση, είναι πιθανό συστήματα ΤΝ που χρησιμοποιούνται από τους δικαστές για την έρευνα, ερμηνεία και εφαρμογή των πραγματικών περιστατικών και του νόμου να μην χαρακτηριστούν ως ‘υψηλού κινδύνου΄ γιατί προορίζονται από τον πάροχο για χρήση από το ευρύ κοινό ή από δικηγόρους.
Για παράδειγμα, η χρήση του ChatGPT, ως συστήματος ΤΝ γενικού σκοπού, από έναν δικαστή για την έρευνα κάποιας νομοθεσίας δεν επιφέρει άμεσα τον χαρακτηρισμό του ως ‘υψηλού κινδύνου’ γιατί προορίζεται για χρήση από το ευρύ κοινό. Έτσι, ο πάροχος δεν επιβαρύνεται με την τήρηση των απαιτήσεων των Άρθρων 8-15 του Κανονισμού. Παρόλα αυτά, συστημικοί κίνδυνοι, όπως οι λεγόμενες ‘παραισθήσεις’ όταν το ChatGPT παρουσιάζει μια ψευδή πληροφορία ως αληθινή με αποτέλεσμα να παραπλανεί τον χρήστη, απειλούν το δικαίωμα στην δίκαιη δίκη με το να περιορίζουν την ανεξάρτητη και αμερόληπτη κρίση του δικαστή.
Ο Ευρωπαίος νομοθέτης θα πρέπει να αναγνωρίσει τις διαφορετικές ταχύτητες ψηφιοποίησης ανά Κράτος Μέλος που επηρεάζουν τους στόχους της ΕΕ για την εξ ορισμού ψηφιοποίηση και τη διαλειτουργικότητα συστημάτων στο δικαστικό τομέα των Κρατών Μελών [2]. Αν και τα περισσότερα Κράτη Μέλη έχουν ξεκινήσει τις διαδικασίες ψηφιοποίησης βάσει συστημάτων ΤΝ, κυρίως για την ψευδωνυμοποίηση δικαστικών αποφάσεων [3], ωστόσο βρίσκονται σε αρκετά πρώιμο στάδιο καθώς σε πολλές περιπτώσεις δεν υπάρχουν αρκετά μηχανογραφημένα δεδομένα, π.χ. δικαστικές αποφάσεις, που μπορεί να επεξεργαστεί ένα σύστημα ΤΝ κατά την εκπαίδευση του. Επομένως, δεν επαρκεί η σαφής νομοθέτηση της επιτρεπτούς χρήσης συστημάτων ΤΝ για τη διασφάλιση της αποτελεσματικής και επιτυχούς εφαρμογής συστημάτων ΤΝ στα εθνικά δικαστήρια.
Η ΕΕ και οι εθνικοί φορείς, όπως το Υπουργείο Δικαιοσύνης, πρέπει να παρέχουν μεγαλύτερη οικονομική στήριξη αλλά και καθοδήγηση στα εθνικά δικαστήρια, π.χ. μέσω της εκπαίδευση και ενημέρωσης των δικαστών σχετικά με την χρήση συστημάτων ΤΝ. Σε αυτήν την προσπάθεια, είναι πολύ σημαντικό η εφαρμογή των συστημάτων ΤΝ στη διοίκηση των δικαστηρίων να γίνεται κατά εναρμονισμένο τρόπο, τουλάχιστον σε εθνικό επίπεδο, ώστε όλοι οι πολίτες να επωφελούνται ισότιμα και αδιακρίτως από τη θετική συμβολή των συστημάτων στην αποτελεσματικότητα και ποιότητα της δικαιοσύνης.
* Η Καλλιόπη Τερζίδου είναι Υποψήφια Διδάκτωρ της Νομικής Σχολής του Πανεπιστημίου του Λουξεμβούργου. Η έρευνα της υποστηρίζεται από το Fonds National de la Recherche (PRIDE 19/14268506).
[2] Council of the EU, European e-Justice Strategy 2024-2028 – Approval, 15509/23, 17 November 2023,
Data Privacy Framework - Ένα Χρόνο Μετά: Το Παιδί Περπάτησε (Μάλλον) προς Λάθος Κατεύθυνση...
Γράφουν οι Χρήστος Μακρής και Φωτεινή Κακαβά*
Τα πρώτα μας γενέθλια ήταν πάντοτε τα πιο σημαντικά. Μέσα σε ένα χρόνο ζωής, οι περισσότεροι από εμάς βιώσαν τεράστιες αλλαγές. Άλλοι περπάτησαν, άλλοι μίλησαν, όλοι γέλασαν και όλοι έκλαψαν.
Κάπως έτσι πρέπει να αξιολογήσουμε και το «θεσμικό τέκνο» που προέκυψε από μια δυσλειτουργική σχέση ετών μεταξύ ΕΕ και ΗΠΑ: την απόφαση επάρκειας του άρθρου 45 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) που αφορά την διατλαντική διαβίβαση των προσωπικών μας δεδομένων ως Ευρωπαίοι πολίτες. Το Data Privacy Framework (DPF) συμπλήρωσε ένα έτος ζωής στις 10 Ιουλίου 2024 και έτσι οι «γονείς» αποφάσισαν να μαζευτούν στις 18-19 Ιουλίου 2024 στην Ουάσιγκτον, προκειμένου να αξιολογήσουν την πορεία ανάπτυξης του τέκνου τους.
Προκειμένου δε να καθησυχάσουν το κοινό τους ότι όλα πάνε ή θα πάνε καλά, αποφάσισαν να συντάξουν μία έκθεση ελέγχου των πεπραγμένων, με βάση στοιχεία που παρείχαν οι αρμόδιες υπηρεσίες της κυβέρνησης των Ηνωμένων Πολιτειών και με την συμμετοχή διάφορων αμερικανικών ΜΚΟ που προασπίζονται τα ανθρώπινα δικαιώματα σε θέματα ψηφιακών δικαιωμάτων και όχι μόνο.
Το αποτέλεσμα ήταν ένα κείμενο 21 σελίδων, το οποίο υποβλήθηκε στις 9 Οκτωβρίου 2024 από την Ευρωπαϊκή Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Ευρωπαϊκό Συμβούλιο προς αξιολόγηση.
Ας κάνουμε όμως εδώ μία παύση, για να φρεσκάρουμε λίγο την μνήμη μας. Το Data Privacy Framework (DPF) δεν είναι το μοναδικό τέκνο ΕΕ και ΗΠΑ. Έχουν προηγηθεί δύο ατελέσφορες προσπάθειες: EU–US Safe Harbor Principles και Privacy Shield Framework. Γιατί ατελέσφορες; Γιατί και οι δύο αντίστοιχα ακυρώθηκαν από το Ευρωπαϊκό Δικαστήριο μετά από προσφυγή σε αυτό του υπέρμαχου για τα προσωπικά δεδομένα και το δικαίωμα στην ιδιωτικότητα, Max Schrems.
Η παράνομη απενεργοποίηση των ανεξάρτητων εποπτικών Αρχών από την αξιολόγηση της ορθής εφαρμογής των αποφάσεων επάρκειας, η επί της ουσίας κατάργηση του θεμελιώδους δικαιώματος για προστασία των δεδομένων μας με βάση το άρθρο 8 της Ευρωπαϊκής Χάρτας Θεμελιωδών Δικαιωμάτων, καθώς και η αδυναμία πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στις ΗΠΑ, αποτέλεσαν θεμέλιους λίθους στο σκεπτικό των αποφάσεων που έκριναν την ακύρωση των δύο προηγούμενων αποφάσεων επάρκειας.
Τι διαφορετικό όμως έχει η παρούσα απόφαση επάρκειας σε σχέση με τις προηγούμενες; Από που απορρέει η νομιμότητα της και τι είναι αυτό που την καθιστά στο απυρόβλητο; Οι απαντήσεις κρύβονται στην πολυαναμενόμενη ετήσια έκθεση ελέγχου της Ευρωπαϊκής Επιτροπής που δημοσιεύθηκε στις 9 Οκτωβρίου 2024 και η οποία κρίνει (κατά πολύ) την μελλοντική πορεία της απόφασης επάρκειας.
Εν τέλει, ως συντάκτες του άρθρου, μπήκαμε στον κόπο να την διαβάσουμε από κοινού και να μεταφέρουμε την προσωπική μας άποψη σε σχέση με τα μέχρι σήμερα πεπραγμένα, ξεκινώντας πάντα από δύο απλές παραδοχές: (α) οι ΗΠΑ δεν έχουν κωδικοποιημένη νομοθεσία αντίστοιχη με τον ΓΚΠΔ και την Ευρωπαϊκή Χάρτα Θεμελιωδών Δικαιωμάτων, και επομένως δεν χωρεί νομοθετική αντιπαραβολή και (β) είναι τόσες οι Επιτροπές, Υποεπιτροπές, Υπηρεσίες, Γραφεία και Πάνελ Ειδικών στην δαιδαλώδη κυβέρνηση των Ηνωμένων Πολιτείων, που σε πιάνει πονοκέφαλος όταν προσπαθείς να βάλεις σε μία σειρά ποιος είναι υπεύθυνος για τι.
Προσπερνώντας λοιπόν τα ως άνω, η ανάγνωση της έκθεσης ελέγχου δεν ήταν τόσο δύσκολη. Ήταν απλά γεμάτη με ευχές από την Ευρωπαϊκή Επιτροπή να μεγαλώσει το παιδί με σωστές αρχές και να πάρει το δρόμο τον σωστό, βγάζοντάς μας ασπροπρόσωπους στην κοινωνία (βέβαια εκ των πραγμάτων από την ανάγνωση του DPF την πλήρη επιμέλεια του τέκνου την διατηρούν οι ΗΠΑ – με ό,τι σημαίνει αυτό, και απλά έχουν από κοινού την γονική μέριμνα με την ΕΕ).
Από κανένα σημείο της έκθεσης ελέγχου δεν προέκυψε πως προστατεύονται τα θεμελιώδη δικαιώματα των Ευρωπαίων πολιτών από πρακτικές επιτήρησης των Υπηρεσιών Ασφαλείας των ΗΠΑ, παρά μόνο εκφράστηκαν ανησυχίες από τις ΜΚΟ που συμμετείχαν στην διαβούλευση ότι οι Υπηρεσίες Ασφαλείας πλέον αγοράζουν δεδομένα πολιτών από εταιρείες του ιδιωτικού τομέα στα πλαίσια των πρακτικών παρακολούθησης. Το κείμενο της έκθεσης ελέγχου επικεντρώνει κυρίως σε εντατικές προσπάθειες επιμόρφωσης των Αμερικανών πρακτόρων των Υπηρεσιών Ασφαλείας, προκειμένου να ενημερωθούν για το πλαίσιο συμφωνίας της απόφασης επάρκειας και να συμμορφώνονται οικειοθελώς (;!) με τις αρχές της ελαχιστοποίησης των δεδομένων και της αναλογικότητας με βάση τον σκοπό της επεξεργασίας. Κοινώς, δεοντολογικά ευχολόγια.
Επιπλέον, σε σχέση με τις πολύ μεγάλες πλατφόρμες (Google, Meta), οι οποίες έχουν βρεθεί στο επίκεντρο της διαμόρφωσης των αποφάσεων επάρκειας μεταξύ ΕΕ-ΗΠΑ, γίνεται αναφορά ότι δημοσιοποιούν τα στοιχεία των αιτημάτων που έχουν δεχθεί από τις Υπηρεσίες Ασφαλείας κατά την διάρκεια του έτους στα πλαίσια διαφάνειας των εν λόγω διεργασιών. Παρ’ όλα αυτά, όταν μπήκαμε στην αντίστοιχη σελίδα της Google ανακαλύψαμε ότι η λεγόμενη διαφάνεια εκτεινόταν σε απλά στατιστικά νούμερα και με ένα προοίμιο ότι «Σε αυτή την αναφορά αιτημάτων εθνικής ασφάλειας των ΗΠΑ, αναφέρουμε ξεχωριστά τα αιτήματα από φορείς των ΗΠΑ που χρησιμοποιούν τη νομοθεσία εθνικής ασφάλειας επειδή αυτή η νομοθεσία περιορίζει τόσο τον όγκο των πληροφοριών που επιτρέπεται να κοινοποιούμε εμείς και άλλες εταιρείες πληροφοριών όσο και τη χρονική στιγμή που μπορούμε να τις κοινοποιήσουμε». Επομένως, άνθρακες ο θησαυρός.
Εν τέλει, κανείς δεν μπορεί να απαντήσει το κρισιμότερο ερώτημα όλων: πως μπορεί ένας Ευρωπαίος πολίτης να ασκήσει στις ΗΠΑ το κατοχυρωμένο δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας του άρθρου 79 ΓΚΠΔ; Απλά, δεν μπορεί. Το Data Protection Review Court (DPRC) (η σύσταση του οποίου συμφωνήθηκε μεταξύ ΕΕ – ΗΠΑ για να εκπληρωθεί το δικαίωμα δικαστικής προσφυγής) δεν είναι δικαστήριο, είναι μία διαδικασία δύο επιπέδων, όπως περιγράφεται στον ιστότοπο του Υπουργείο Δικαιοσύνης των ΗΠΑ, το οποίο μπορεί να επιβάλει την κατάλληλη αποκατάσταση (appropriate remediation) σε βάρος των εταιρειών που παραβιάζουν την απόφαση επάρκειας. Άμεση αποκατάσταση της παραβίασης δικαιωμάτων σε βάρος των υποκειμένων επεξεργασίας δεν υπάρχει. Δικαιώματα όπως αυτό της πρόσβασης, της λήθης, της διόρθωσης, του περιορισμού της επεξεργασίας και της εναντίωσης, δεν μπορούν να εξασκηθούν πέραν από τα διοικητικά όρια της ΕΕ. Επομένως, καμία έκθεση ελέγχου και κανένα στατιστικό δεδομένο δεν μπορούν να δώσουν λύσεις στα καίρια αυτά προβλήματα. Όποιος από εσάς θέλει, μπορεί να διαβάσει την εν λόγω έκθεση ελέγχου εδώ.
Χωρίς να θέλουμε να υποτιμήσουμε την προσπάθεια όλων όσων συμμετείχαν στην σύνταξη του εν λόγω εγγράφου, δεν μπορούμε να βρούμε κάτι ουσιαστικό σε αυτό που να χρήζει περαιτέρω αναφοράς. Η ισχύουσα απόφαση επάρκειας συνεχίζει να «μπάζει νερά». Νομίζουμε ότι είμαστε κοντά σε μία ακόμη «επίθεση» από πλευράς NOYB και Max Schrems για την ακύρωση της εν λόγω απόφασης (και κατά την άποψή μας, όχι αδικαιολόγητη). Η νέα εκλογή Προέδρου στις ΗΠΑ δείχνει κατά πολύ την κατεύθυνση που θα πάρει η επερχόμενη κυβέρνηση σε θέματα Εθνικής Ασφαλείας. Ήδη ο Ντόναλντ Τραμπ την ημέρα της ορκωμοσίας του κατάργησε ένα μεγάλο σύνολο ομοσπονδιακών νομοθετημάτων της κυβέρνησης Μπάιντεν, ειδικά όσα αφορούν την προστασία θεμελιωδών δικαιωμάτων και διακρίσεων. Οι ΗΠΑ βαδίζουν αδιαμφισβήτητα προς μία πολιτική εσωστρέφειας και περιορισμών στην διεκδίκηση των θεμελιωδών δικαιωμάτων.
Επειδή λοιπόν πολλοί θα θεωρήσουν ότι είμαστε ενάντια σε κάθε προσπάθεια συμφωνίας μεταξύ ΕΕ-ΗΠΑ σε θέματα διατλαντικών διαβιβάσεων δεδομένων, θα τους προλάβουμε δηλώνοντας το ακριβώς αντίθετο. Η ασφαλής μεταφορά δεδομένων στην άλλη άκρη του Ατλαντικού αποτελεί ίσως το κρισιμότερο ζήτημα βιωσιμότητας της καινοτομίας και της εξέλιξης των νέων τεχνολογιών, που θα προσφέρουν στην ανθρωπότητα λύσεις σε θεμελιώδεις τομείς όπως ενδεικτικά στην προαγωγή της κλινικής έρευνας, σε εύρεση θεραπειών για χρόνιες νόσους και στην ορθή κατανομή παγκόσμιων πόρων για την αντιμετώπιση φαινομένων υποσιτισμού και αδυναμίας περίθαλψης. Όχι όμως σε βάρος των θεμελιωδών δικαιωμάτων του ανθρώπου. Τα δεδομένα μας είναι ο νέος χρυσός αλλά ας επωφεληθούμε όλοι από αυτό.
* Ο Χρήστος Μακρής είναι Δικηγόρος με 15ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο Ευρωπαϊκό και Διεθνές Δίκαιο, μεταπτυχιακός φοιτητής στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και ακαδημαϊκός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και Προστασίας Δεδομένων.
Η Φωτεινή Κακαβά είναι Data Protection & Privacy legal expert, με 6ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και κάτοχος πιστοποίησης CIPM (Certified Information Privacy Management).
Ασφαλείς Διαδρομές στο Διαδίκτυο: Οδηγός για Γονείς και Ανήλικους
Γράφει η Σταυρίνα Χούσου*
Σύμφωνα με την UNICEF, το 1/3 των διαδικτυακών χρηστών είναι ανήλικοι, ενώ παιδιά 8-18 ετών περνούν περίπου το 1/3 της ημέρας τους online. Το διαδίκτυο είναι άρρηκτο και συχνά ευεργετικό στοιχείο της ζωής της «διασυνδεδεμένης γενιάς», αλλά κρύβει και κινδύνους. Η έλλειψη εκπαίδευσης και η έμφυτη αθωότητά τους, καθιστούν τα παιδιά ευάλωτους διαδικτυακούς στόχους.
Βασικά σημεία
Η συζήτηση για την κυβερνοασφάλεια πρέπει να ξεκινάει όταν το παιδί πρωτοέρχεται σε επαφή με το διαδίκτυο, με απλούς τρόπους όπως ρωτώντας το για τους σκοπούς των εφαρμογών και των αναζητήσεών του, αλλά και τους πιθανούς κινδύνους τους. Για τα μικρά παιδιά (3-8 ετών), η αυτόνομη χρήση του διαδικτύου δεν είναι ασφαλής. Οι γονείς και κηδεμόνες πρέπει να εξοικειωθούν με τους γονικούς ελέγχους στις ρυθμίσεις των συσκευών και εφαρμογών (ΜΚΔ, πλατφόρμες streaming), ώστε να περιορίζουν το περιεχόμενο, τον χρόνο οθόνης και τη πρόσβαση σε τρίτες ιστοσελίδες στα παιδιά. Αυτό βέβαια δεν υποκαθιστά τον ρόλο της συζήτησης και της ενεργούς ενασχόλησης.
Κίνδυνοι και τρόποι προστασίας
Σε όλη τη διάρκεια της ζωής τους τα παιδιά θα έρθουν σε επαφή με πληθώρα διαδικτυακών κινδύνων. Από νωρίς πρέπει να μάθουν να τους εντοπίζουν και να προφυλάσσονται κατάλληλα.
Θύτες και απατεώνες στο διαδίκτυο. Θύτες εκμεταλλεύονται την αθωότητα των παιδιών για να τα παρασύρουν σε επικίνδυνες καταστάσεις ή να αποσπάσουν προσωπικά δεδομένα. Κοινωνικά δίκτυα και πλατφόρμες παιχνιδιών προσφέρουν ανώνυμους χώρους που διευκολύνουν αυτές τις επαφές. Ακόμα κι αν τα παιδιά είναι ενημερωμένα, μπορεί να δελεαστούν από προσφορές δωρεάν πρόσβασης σε παιχνίδια ή άλλα προνόμια.
Το ‘grooming’ αναδεικνύεται ως η βασικότερη μέθοδος των θυτών και αφορά τη δημιουργία συναισθηματικής σχέσης με ένα παιδί στο διαδίκτυο, με σκοπό την κακοποίηση ή την σεξουαλική εκμετάλλευση. Σε αυτές τις περιπτώσεις, δεν μπορεί να υποκατασταθεί η παραδοσιακή, αλλά προσαρμοσμένη για την ψηφιακή εποχή, συζήτηση για τους κινδύνους από ξένους.
Κι αυτός ο κίνδυνος δεν πρέπει να υποτιμάτε. Σχεδόν το 90% των URLs με υλικό σεξουαλικής κακοποίησης παιδιών βρίσκονται στην ΕΕ, σύμφωνα με την Europol. Το 94% των αναφορών αφορούσε τις πλατφόρμες της Meta, όπου οι κρυπτογραφημένες συνομιλίες παρέχουν κάλυψη στους εγκληματίες. Επιπλέον, σύμφωνα με το Online Grooming Communication Project (OGC) μόλις 18 λεπτά επικοινωνίας αρκούν για να κερδίσουν οι groomers την εμπιστοσύνη ενός παιδιού.
Phishing και κακόβουλο λογισμικό. Το phishing είναι μια από τις πιο διαδεδομένες μορφές διαδικτυακής απάτης. Οι επιτιθέμενοι αποσπούν ευαίσθητες πληροφορίες μέσω παραπλανητικών μηνυμάτων ή ιστοσελίδων. Τα παιδιά δυσκολεύονται να αναγνωρίσουν αυτές τις απάτες, καθώς συχνά είναι εξαιρετικά πειστικές και φαίνεται να προέρχονται από γνωστούς ή αξιόπιστες πηγές. Κακόβουλα λογισμικά, που περιέχουν ιούς ή αποσπούν δεδομένα, συχνά κρύβονται πίσω από συνδέσμους που διαμοιράζονται μέσω phishing ή άλλων επιθέσεων. Τα παιδιά είναι πιθανό να ανοίξουν τέτοιους συνδέσμους, αφού συχνά συνοδεύονται από δελεαστικές προσφορές ή εμφανίζονται ως παιχνίδια.
Είναι σημαντικό να εκπαιδεύσουμε τα παιδιά να αναγνωρίζουν τα σημάδια τέτοιων ενεργειών, αποφεύγοντας συνδέσμους από άγνωστους ή ύποπτους αποστολείς και αξιολογώντας ύποπτα μηνύματα, όπως αυτά χωρίς περιεχόμενο. Αυτούς ακριβώς τους κινδύνους θίγει και η Ευρωπαϊκή Καμπάνια Κυβερνοασφάλειας 2024 #ThinkB4UClick.
Υπερβολική ή άκριτη κοινοποίηση προσωπικών στοιχείων. Η δημοσίευση προσωπικών δεδομένων στο διαδίκτυο απαιτεί προσοχή, καθώς στοιχεία όπως φωτογραφίες και διευθύνσεις μπορούν να οδηγήσουν στην ταυτοποίηση του παιδιού. Τα παιδιά πρέπει να κατανοούν τη σημασία των ιδιωτικών προφίλ και να έχουν τον έλεγχο των πληροφοριών τους. Επιπλέον, πρέπει να εκπαιδεύονται σχετικά με το «διαδικτυακό αποτύπωμα», καθώς οτιδήποτε δημοσιεύεται μπορεί να παραμείνει μόνιμα, καθιστώντας την προστασία της ιδιωτικότητας εξαιρετικά σημαντική.
Κυβερνοεκφοβισμός Έρευνες δείχνουν ότι περίπου 60% των παιδιών έχουν γίνει μάρτυρες διαδικτυακού εκφοβισμού, χωρίς να έχουν αντιδράσει. Ο καλύτερος τρόπος αντιμετώπισης είναι ενθαρρύνετε το παιδί να επικοινωνεί για τις διαδικτυακές εμπειρίες που το προβληματίζουν, αλλά και να ακολουθεί τον χρυσό κανόνα: «Μην κάνεις ό,τι δε θέλεις να σου κάνουν». Η κυβερνοασφάλεια δεν έχει πάντα τεχνικές ρίζες. Η καλλιέργεια ενός ευγενούς και κριτικού ανθρώπου είναι η πρώτη γραμμή άμυνας.
Παραπληροφόρηση. Ενθαρρύνετε τα να σκέφτονται κριτικά για ό,τι βρίσκουν online και εκπαιδεύστε τα να αναγνωρίζουν αξιόπιστες πηγές. Είναι απαραίτητο να αξιολογούν την πηγή της πληροφορίας (ποιος είναι ο συγγραφέας και ποιος ο σκοπός του) και τα χαρακτηριστικά του ιστότοπου (π.χ. URL, domain). Επίσης, πρέπει να σκεφτούν αν οι πληροφορίες είναι λογικές και αν συνάδουν με όσα ήδη γνωρίζουν, ή αν χρειάζεται να βρουν άλλες πηγές για επιβεβαίωση. Για μεγαλύτερα παιδιά και ενήλικες, η σειρά εκπαιδευτικών βίντεο Online Verification Skills είναι εξαιρετική πηγή, ενώ για μικρότερα παιδιά, αξιόλογο εργαλείο αποτελεί το εκπαιδευτικό παιχνίδι της Μαρίας Παππά, ‘Αλήθεια, Άποψη ή Ανακρίβεια’.
Ο ρόλος των «μεγάλων» στην κυβερνοασφάλεια των «μικρών»
Σεβασμός της ιδιωτικότητας. Μοιραστείτε φωτογραφίες των παιδιών μόνο με στενούς φίλους ή οικογένεια, σε κρυπτογραφημένα κανάλια. Απενεργοποιήστε τις υπηρεσίες τοποθεσίας και αναγνώρισης προσώπου, και αποφύγετε τη δημοσίευση φωτογραφιών που αποκαλύπτουν προσωπικές πληροφορίες. Αφαιρέστε τα μεταδεδομένα EXIF από τις φωτογραφίες που μοιράζεστε για να τις προστατεύσετε σε περίπτωση διαρροής.
Πολλές ευρωπαϊκές Αρχές Προστασίας Προσωπικών Δεδομένων συμβουλεύουν τους γονείς να αποφεύγουν τη δημοσίευση προσωπικού υλικού των παιδιών τους, καθώς τα μικρά παιδιά δεν μπορούν να δώσουν ενημερωμένη συγκατάθεση. Αυτή η πρακτική επίσης εκθέτει τα παιδιά σε σοβαρούς κινδύνους. Ακόμη και μια απλή φωτογραφία μπορεί να ταυτοποιήσει ένα παιδί, αυξάνοντας τον κίνδυνο κλοπής ταυτότητας ή ψηφιακής απαγωγής, όπου οι εικόνες των παιδιών χρησιμοποιούνται σε ψεύτικους λογαριασμούς. Σύμφωνα με προβλέψεις της Barclays, έως το 2030, η δημόσια κοινοποίηση εικόνων από γονείς θα μπορούσε να ευθύνεται για τα 2/3 όλων των περιπτώσεων απάτης ταυτότητας.
Ευθύνη των ενηλίκων η προστασία των ψηφιακών υποδομών του νοικοκυριού. Ενημερώστε τα λογισμικά των συσκευών σας συχνά – και ιδανικά αυτόματα. Χρησιμοποιήστε ασφαλές, ιδιωτικό Wi-Fi. Σε δημόσια δίκτυα, προτιμήστε VPN για μεγαλύτερη ασφάλεια και περιορίστε τις αναζητήσεις σας. Εγκαταστείτε λογισμικά ασφαλείας και anti-virus.
Τα παιδιά μεγαλώνουν. Έτσι, η επιθυμία τους για αυτονομία αυξάνεται. Είναι κρίσιμο να μεταβούμε σταδιακά από την εποπτεία στην εμπιστοσύνη, επιτρέποντάς τους να χρησιμοποιούν τα εργαλεία που τους έχετε παρέχει, πάντα με λογικά όρια, ανοιχτή επικοινωνία και υποστηρίζοντας τις αξίες που τους εμφυσουμε. Η ισορροπία μεταξύ αυτονομίας και εποπτείας είναι μια νέα συζήτηση, κι ενώ υπάρχουν χρήσιμες οδηγίες, δεν υπάρχουν απόλυτες λύσεις.
Αναφορά ακατάλληλων συμπεριφορών: Χρησιμοποιήστε τα φίλτρα αναφοράς στα ΜΚΔ για να επισημάνετε ύποπτες ή ανάρμοστες συμπεριφορές που αφορούν ανήλικους. Μην επαναπαύεστε και μην αγνοείται ανησυχητικά περιστατικά. Πολλά παιδιά μπορεί να μην απολαμβάνουν της προστασίας που τους αξίζει.
Επίλογος
Η εκπαίδευση των παιδιών για την κυβερνοασφάλεια προϋποθέτει την συνεχή ενημέρωση και εκπαίδευση των ενηλίκων. Ας μείνουμε ενεργοί, ενήμεροι και προσιτοί ιδιαίτερα στα παιδιά που βρίσκονται κάτω από τη φροντίδα μας. Είναι ευθύνη όλων μας.
Σύνδεσμοι για περαιτέρω ενημέρωση/Επιμόρφωση:
- Protecting Kids Online | Security.org
- Center of Missing and Epxloited Children: Courses
* H Σταυρίνα Χούσου είναι απόφοιτος της Σχολής Διεθνών και Ευρωπαϊκών Σπουδών του Πανεπιστημίου του Πειραιά και κάτοχος Μεταπτυχιακού Διπλώματος στη Δημόσια Πολιτική και τις Νέες Τεχνολογίες από το Πανεπιστήμιο Sciences Po Paris. Εργάζεται ως Regulatory Consultant στην εταιρεία naaia.ai, μία συμβουλευτική για θέματα που άπτονται της ΤΝ και της διαχείρισης δεδομένων.