Η απόφαση 26/2019 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της εταιρείας PwC BS Α.Ε.

Γράφει ο Νικόλας Γανιάρης*

Α) Η κρίση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με την υπ’ αριθμ. 26/2019 απόφαση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε για πρώτη φορά πρόστιμο εφαρμόζοντας το Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΓΚΠΔ).

Η απόφαση δημοσιεύτηκε στις 30 Ιουλίου 2019.

O υπεύθυνος επεξεργασίας προσωπικών δεδομένων, δηλαδή η εταιρεία PwC BS, ζήτησε εγγράφως από τους εργαζομένους τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων.

Συγκεκριμένα, η εταιρεία ζήτησε τη συγκατάθεση των εργαζομένων για την επεξεργασία: α) όσων δεδομένων συνδέονταν άμεσα με τη σχέση απασχόλησης και την οργάνωση της εταιρείας και β) των δεδομένων που αποθηκεύονταν στα μέσα ηλεκτρονικής επικοινωνίας που παρείχε η εταιρεία στους εργαζομένους της.

Η εταιρεία επεδίωκε με την επεξεργασία αυτών των δεδομένων την εκπλήρωση των εξής σκοπών επεξεργασίας: α) της εκτέλεσης της σύμβασης εργασίας που είχε συνάψει με τους εργαζομένους, β) της εκπλήρωσης των υποχρεώσεων της εταιρείας που απορρέουν από την ασφαλιστική, φορολογική, εργασιακή, τελωνειακή, ευρωπαϊκή και λοιπή νομοθεσία και γ) της διασφάλισης των εννόμων συμφερόντων της εταιρείας.

Το βασικό σφάλμα της εταιρείας ήταν ότι θεμελίωσε την επεξεργασία των δεδομένων των εργαζομένων στη νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ).

Η επιλογή αυτή ήταν ακατάλληλη και παραπλανητική.

Ακατάλληλη, διότι σπανίως νοείται ελεύθερη συγκατάθεση στο πλαίσιο της σχέσης απασχόλησης, εφόσον αυτή χαρακτηρίζεται από ανισορροπία δυνάμεων ανάμεσα στον εργοδότη και τον εργαζόμενο.

Ο εργαζόμενος δηλαδή δεν μπορεί να παρέχει ελεύθερα τη συγκατάθεσή του στον εργοδότη του, καθώς γνωρίζει ότι αν δεν το κάνει αυτό ενδέχεται να έχει επιπτώσεις στην εργασία του.

Παραπλανητική, γιατί δημιούργησε στους εργαζομένους την εσφαλμένη εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των προσωπικών δεδομένων ανακαλώντας τη συγκατάθεσή τους.

Περαιτέρω, η ΑΠΔΠΧ απέρριψε τον ισχυρισμό της εταιρείας ότι η συγκατάθεση των εργαζομένων αποτελούσε συμπληρωματική νομική βάση επεξεργασίας μαζί με τη νόμιμη βάση της εκτέλεσης σύμβασης εργασίας (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ).

Η ΑΠΔΠΧ απεφάνθη ότι η αμφιταλάντευση του υπευθύνου επεξεργασίας ανάμεσα στις δύο νόμιμες βάσεις, δηλαδή ανάμεσα στη συγκατάθεση των εργαζομένων και στην εκτέλεση της σύμβασης εργασίας, καταδεικνύει την αμφιβολία του για τη νομιμότητα της επεξεργασίας.

Ο υπεύθυνος επεξεργασίας θα έπρεπε να άρει την αμφιβολία αυτή πριν από την έναρξη της επεξεργασίας.

Το δεύτερο σφάλμα της εταιρείας ήταν το γεγονός ότι ζήτησε από τους εργαζομένους να αποδεχτούν ότι τα υπό επεξεργασία δεδομένα συνδέονται με τις ανάγκες της σχέσης απασχόλησης και της οργάνωσης της εταιρείας.

Στην πραγματικότητα η ίδια η εταιρεία έπρεπε να διακρίνει τα συναφή με τους σκοπούς επεξεργασίας δεδομένα των εργαζομένων.

Υπ’ αυτό το σκεπτικό, η ΑΠΔΠΧ προέβη σε επιβολή διορθωτικών μέτρων και προστίμου 150.000 ευρώ στην εταιρεία PwC BS για την παραβίαση των κανόνων του ΓΚΠΔ.

Β) Συμπεράσματα

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι σημαντική για τρεις λόγους.

Πρώτον, με την απόφαση διευκρινίζεται η έννοια της συγκατάθεσης. Η ΑΠΔΠΧ απεφάνθη ότι σπανίως μπορεί η συγκατάθεση που δίνεται στο πλαίσιο της εργασιακής σχέσης να είναι ελεύθερη.

Συνεπώς, οι επεξεργασίες των δεδομένων των εργαζομένων θα πρέπει να θεμελιώνονται στις ορθές νόμιμες βάσεις (λ.χ. στην εκτέλεση της σύμβασης εργασίας), ώστε να μη δημιουργείται στους εργαζομένους η εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των δεδομένων τους ανακαλώντας τη συγκατάθεσή τους.

Επίσης, στην απόφαση παρατίθεται ένα πρακτικό εργαλείο για την επιλογή της ορθής νόμιμης βάσης.

Πρόκειται για τη δοκιμασία της ανάκλησης, σύμφωνα με την οποία εάν μόλις ανακληθεί η συγκατάθεση από το υποκείμενο των δεδομένων η επεξεργασία μπορεί να συνεχιστεί με άλλη νόμιμη βάση, τότε δημιουργούνται αμφιβολίες για τη θεμελίωση της επεξεργασίας στη νόμιμη βάση της συγκατάθεσης επί της αρχής.

Επιπλέον, στην απόφαση διευκρινίζεται ότι η συγκατάθεση έχει την ίδια βαρύτητα με τις υπόλοιπες νόμιμες βάσεις του ΓΚΠΔ.

Δεύτερον, με την απόφαση τονίζεται ότι δεν υπάρχουν νόμιμες βάσεις που να λειτουργούν ως «πανάκεια» για κάθε επεξεργασία προσωπικών δεδομένων. 

Η κρίση της ΑΠΔΠΧ καθιστά σαφές ότι ούτε η νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ) ούτε η νόμιμη βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ) «ταιριάζουν» σε κάθε επεξεργασία.

Ο υπεύθυνος επεξεργασίας δεν «ξεμπερδεύει» με μια αναφορά ότι η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή στην εκτέλεση της σύμβασης.

Θα πρέπει να καταβάλλεται προσπάθεια από τον υπεύθυνο επεξεργασίας για την επιλογή της ορθής κάθε φορά νόμιμης βάσης επεξεργασίας.

Η άρση οποιασδήποτε σχετικής αμφιβολίας βαραίνει αποκλειστικά τον ίδιο τον υπεύθυνο επεξεργασίας.

Τρίτον, για πρώτη φορά τίθενται σε εφαρμογή τα κριτήρια επιμέτρησης του διοικητικού προστίμου που προβλέπονται στο άρθρο 83 ΓΚΠΔ.

Η ΑΠΔΠΧ κατά την επιβολή του προστίμου έλαβε υπόψη τα εξής στοιχεία:

α) το ότι η εταιρεία παραβίασε βασικές αρχές του ΓΚΠΔ, δηλαδή τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας προσωπικών δεδομένων,

β) ότι η εταιρεία παραβίασε και την αρχή της λογοδοσίας, αφού δεν παρουσίασε εσωτερική τεκμηρίωση για την επιλογή της νόμιμης βάσης της συγκατάθεσης και μετακύλησε το βάρος της συμμόρφωσης με τον ΓΚΠΔ στους εργαζομένους,

γ) ότι η επιλογή των ορθών νομίμων βάσεων επεξεργασίας δεν παρουσίαζε δυσχέρεια στη συγκεκριμένη περίπτωση,

δ) ότι δεν επήλθε υλική ζημία στους εργαζομένους ή οικονομικό όφελος στην εταιρεία από την παράνομη επεξεργασία που έλαβε χώρα,

ε) ότι η παράνομη επεξεργασία οφειλόταν σε αμέλεια του υπευθύνου επεξεργασίας και

στ) την πρόθεση του υπευθύνου επεξεργασίας να συνεργαστεί με την ΑΠΔΠΧ στο χρονικό διάστημα μετά την ακρόαση.

Γ) Αποτίμηση

Η απόφαση 26/2019 της ΑΠΔΠΧ αναμένεται να επηρεάσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως στο πλαίσιο των εργασιακών σχέσεων.

Είναι η πρώτη απόφαση της ΑΠΔΠΧ μετά την έναρξη ισχύος του ΓΚΠΔ που καταπιάνεται με μία από τις πιο σημαντικές έννοιες του δικαίου των προσωπικών δεδομένων: Την έννοια της συγκατάθεσης.

Επιπλέον, η απόφαση μπορεί να αποτελέσει σημείο αναφοράς για τους υπευθύνους επεξεργασίας, γιατί διευκολύνει την επιλογή της σωστής κάθε φορά νόμιμης βάσης.

Στα θετικά επίσης συγκαταλέγεται το γεγονός ότι η ΑΠΔΠΧ ανέλυσε τη δοκιμασία της συγκατάθεσης, η οποία μπορεί να αποτελέσει πρακτικό οδηγό για τους υπευθύνους επεξεργασίας.

Σημειωτέον, ότι η απόφαση της ΑΠΔΠΧ δεν αντιμετωπίστηκε με εχθρότητα από την PwC BS.

Σε ανακοίνωσή της η εταιρεία ανάφερε ότι θα μελετήσει την απόφαση και θα πορευθεί σε κλίμα συνεργασίας με την ΑΠΔΠΧ.

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι πιθανό να οδηγήσει τους υπευθύνους επεξεργασίας σε αναθεώρηση των νομίμων βάσεων επεξεργασίας των δεδομένων που αφορούν τους εργαζομένους και να προκαλέσει αναστάτωση στα νομικά τους τμήματα.

Ωστόσο, ανοίγει τον δρόμο για μεγαλύτερη διαφάνεια και σαφήνεια κατά την επεξεργασία των δεδομένων των εργαζομένων.

* Ο Νικόλας Γανιάρης είναι δικηγόρος και υποψήφιος διδάκτωρ του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. 

Του Κωνσταντίνου Κακαβούλη

Έχω μια φίλη, κολλητή, που πάντα αργεί. Όχι όμως επειδή ετοιμάζεται με τις ώρες μπροστά στον καθρέφτη. Απλώς ξεχνιέται. Συνήθως μπαίνει για μπάνιο την ώρα που είμαι κάτω από το σπίτι της και την περιμένω να κατέβει.

Σπάνια φτάνει στην ώρα της στα ραντεβού της -ακόμη και αν είναι επαγγελματικά. Το πρόβλημα είναι ότι η φίλη μου αγχώνεται πολύ όταν καθυστερεί. Προσπαθώντας να αποφύγει τα αρνητικά σχόλια, επειδή καθυστέρησε για ακόμα μία φορά, εμφανίζεται συχνά πολύ λιγότερο περιποιημένη από όσο θα ήθελε.

Έχει έρθει με φρεσκολουσμένα και αχτένιστα μαλλιά σε γάμο για να προλάβει το μυστήριο, έστω και στο τέλος του.

Δυστυχώς, η Ελλάδα αντιμετωπίζει συχνά το ίδιο πρόβλημα με τη φίλη μου. Αργεί. Και όταν αργεί, αγχώνεται. Και όταν αγχώνεται, η εμφάνισή της δεν είναι πάντα η καλύτερη.

Στις 27 Απριλίου 2016 ψηφίστηκαν από την Ευρωπαϊκή Ένωση δύο σημαντικά νομοθετήματα για την προστασία προσωπικών δεδομένων: ο Κανονισμός 2016/679 (ευρέως γνωστός ως GDPR) και η Οδηγία 2016/680.

Η Ευρωπαϊκή Ένωση, αναγνωρίζοντας ότι η ενσωμάτωση και εφαρμογή των δύο νομοθετημάτων, απαιτεί χρόνο και προσπάθεια, έδωσε δύο χρόνια προθεσμία στα Κράτη Μέλη για να τα ενσωματώσουν στις εσωτερικές τους έννομες τάξεις και να ξεκινήσει η εφαρμογή τους.

Τα δύο νομοθετήματα ενισχύουν σημαντικά την προστασία των δικαιωμάτων των πολιτών της Ένωσης, ενώ αυξάνουν τις υποχρεώσεις των ιδιωτικών και δημόσιων φορέων.

Η χώρα μας, παρά το μεγάλο χρονικό περιθώριο, δεν κατάφερε να ανταποκριθεί στις υποχρεώσεις της. Σχηματίστηκε μία νομοπαρασκευαστική επιτροπή, η οποία παρέδωσε ένα προσχέδιο νόμου.

Το προσχέδιο αυτό τέθηκε προς δημόσια διαβούλευση το Μάρτιο του 2018, δηλαδή δύο μήνες πριν τη λήξη της προθεσμίας. Το σχέδιο νόμου δεν έφτασε ποτέ στη Βουλή προς ψήφιση. Ακολούθησε η παραίτηση της προέδρου και ενός μέλους της νομοπαρασκευαστικής επιτροπής, καθώς και η είσοδος νέων μελών σε αυτή.

Τελικά, η δεύτερη νομοπαρασκευαστική επιτροπή παρέδωσε νέο σχέδιο νόμου στον Υπουργό Δικαιοσύνης στο τέλος Φεβρουαρίου 2019 και ενώ η προθεσμία από την Ευρωπαϊκή Ένωση είχε ήδη παρέλθει. Το δεύτερο αυτό σχέδιο νόμου δεν εμφανίστηκε ούτε προς δημόσια διαβούλευση ούτε προς ψήφιση στη Βουλή.

Στις 25 Ιουλίου 2019, η Ευρωπαϊκή Επιτροπή απόφάσισε να παραπέμψει την Ελλάδα και την Ισπανία στο Δικαστήριο της Ευρωπαϊκής Ένωσης λόγω της 15μηνης καθυστέρησης των δύο κρατών στην ενσωμάτωση της Οδηγίας 2016/680 στις εσωτερικές τους έννομες τάξεις.

Μάλιστα, το επαπειλούμενο πρόστιμο για τη χώρα μας δεν είναι διόλου ευκαταφρόνητο: αγγίζει τα 2,5 εκατομμύρια ευρώ.

Μπροστά στον κίνδυνο της καταδίκης από το Δικαστήριο και του προστίμου, η νέα κυβέρνηση έθεσε στις 12 Αυγούστου προς δημόσια διαβούλευση ένα σχέδιο νόμου για την προστασία προσωπικών δεδομένων. Ως ημερομηνία λήξης της διαβούλευσης ορίστηκε η 20η Αυγούστου 2019.

Συνεπώς, δόθηκε ένα διάστημα 4 εργάσιμων ημερών εν μέσω δεκαπενταύγουστου (!) σε όλους τους πολίτες και τους ενδιαφερόμενους φορείς να καταθέσουν τις προτάσεις τους.

Ο συγκεκριμένος χειρισμός υποτιμά το θεσμό της δημόσιας διαβούλευσης και τη συμμετοχή των πολιτών στη νομοθετική διαδικασία, κρατώντας τον πολίτη μακριά από τη συμμετοχή στα κοινά. Η προθεσμία παρατάθηκε τελικά κατά μία ακόμη ημέρα, γεγονός το οποίο καθόλου δε βελτιώνει την κατάσταση.

Το μεγαλύτερο πρόβλημα είναι ότι το προτεινόμενο σχέδιο νόμου παρουσιάζει σημαντικές αστοχίες. Το σχέδιο νόμου προτείνει διαφοροποίηση προστίμων για τον ιδιωτικό και το δημόσιο τομέα. Ο GDPR δίνει πράγματι αυτήν την ευχέρεια (άρθρο 83 παρ. 7), καθώς υπάρχουν κράτη μέλη, στα οποία εκ του Συντάγματός τους δεν επιτρέπεται η επιβολή προστίμων και εν γένει κυρώσεων στις δημόσιες αρχές.

Ωστόσο, η Ελλάδα δεν εμπίπτει σε αυτή την κατηγορία κρατών. Μάλιστα, στο σχέδιο νόμου δεν τεκμηριώνεται η διαφοροποίηση ως προς την επιβολή διοικητικών προστίμων σε δημόσιους φορείς και σε ιδιώτες, ενώ η διαφοροποίηση δεν αναφέρεται σε δημόσιες αρχές, αλλά στον ευρύτατο κύκλο του δημοσίου τομέα.

Πρέπει να σημειωθεί ότι το ΣτΕ έκρινε πρόσφατα συνταγματική την επιβολή προστίμου από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην Γενική Γραμματεία Πληροφοριακών Συστημάτων, δηλαδή σε ένα κατεξοχήν δημόσιο φορέα. Εξάλλου, η ΑΠΔΠΧ διαθέτει συγκεκριμένα κριτήρια (GDPR άρθρο 83) για να προσδιορίσει το ύψος του διοικητικού προστίμου.

Φαντάζει πραγματικά παράλογη η προσπάθεια θεσμοθέτησης διαφορετικών κριτηρίων για τα πρόστιμα στον ιδιωτικό και στο δημόσιο τομέα, από τη στιγμή μάλιστα που ο δεύτερος διαχειρίζεται πολύ μεγαλύτερους και αρκετά πιο ευαίσθητους όγκους προσωπικών δεδομένων.

Επίσης, το σχέδιο νόμου αφαιρεί τη δυνατότητα που παρέχει ο GDPR στα υποκείμενα των δεδομένων να αναθέτουν την εκπροσώπησή τους σε μη κερδοσκοπικούς φορείς σχετικά με προσφυγές κατά αποφάσεων της ΑΠΔΠΧ και προσφυγής στα δικαστήρια.

Με τον τρόπο αυτό, το ελληνικό σχέδιο νόμου όχι μόνο μειώνει σημαντικά το επίπεδο προστασίας των δικαιωμάτων των πολιτών, αλλά έρχεται και σε αντίθεση με την ευρωπαϊκή νομοθεσία (GDPR άρθρο 80, παρ. 1), την οποία -υποτίθεται ότι- ενσωματώνει.

Σε άλλο σημείο το σχέδιο νόμου δίνει «ανακριτικές εξουσίες» στον εργοδότη, ο οποίος αποκτά το δικαίωμα να διενεργεί έρευνες για την αποκάλυψη ποινικών αδικημάτων σε προσωπικά δεδομένα των εργαζομένων του (π.χ. υπολογιστές, κινητά τηλέφωνα, κλπ), κρίνοντας ο ίδιος και όχι κάποιο ανακριτικό όργανο(!) αν υπάρχουν ενδείξεις και αποδεικτικά στοιχεία.

Η ρύθμιση αυτή έρχεται σε καταφανή αντίθεση με τη νομολογία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου (υποθέσεις Barbulescu, Kopke, κ.ά.) και δεν μπορεί να γίνει κατανοητό με ποιο τρόπο η χώρα μας δε θα καταδικαστεί από το εν λόγω Δικαστήριο σε περίπτωση που εφαρμοστεί αυτή η διάταξη.

Οι παραπάνω αστοχίες είναι ενδεικτικά κάποιες από τις πολλές που παρουσιάζει το προτεινόμενο σχέδιο νόμου. Η Homo Digitalis έχει επισημάνει πολύ περισσότερες, οι οποίες βρίσκονται αναρτημένες ως σχόλια στο προτεινόμενο σχέδιο νόμου, όπως τέθηκε σε διαβούλευση. Μπορείτε να τις δείτε όλες συγκεντρωμένες εδώ.

Παρά τα περισσότερα από 240 σχόλια και προτάσεις που κατατέθηκαν στο πλαίσιο της δημόσιας διαβούλευσης, το σχέδιο νόμου κατατέθηκε στη Βουλή στις 22 Αυγούστου, δηλαδή μόλις μία ημέρα μετά τη λήξη της διαβούλευσης.

Τα σχόλια που έγιναν δε φαίνονται να λήφθηκαν σχεδόν καθόλου υπόψη, καθώς το σχέδιο νόμου που κατατέθηκε παρουσιάζει ελάχιστες διαφορές από το σχέδιο που δόθηκε προς διαβούλευση.

Είναι προφανές ότι η παραπομπή της χώρας μας στο Δικαστήριο της Ευρωπαϊκής Ένωσης, προκάλεσε την αντίδραση του έλληνα νομοθέτη, ο οποίος κινήθηκε σχετικά γρήγορα για να καλύψει τη σημαντική του καθυστέρηση. Όμως, με την κίνηση αυτή, δεν πρόκειται να αποφύγει την καταδίκη από το Δικαστήριο.

Όπως δεν πρόκειται και η φίλη μου να αποφύγει την γκρίνια των φίλων της κάθε φορά που αργεί μιάμιση ώρα στα ραντεβού της. Ίσως θα ήταν πιο σκόπιμο να μάθουν τόσο η φίλη μου όσο και η Ελλάδα ότι από τη στιγμή που άργησες, δεν πειράζει να αργήσεις λίγο ακόμα.

Αρκεί να παρουσιαστείς όπως πρέπει. Και όχι με τζιν σορτσάκι και βρεγμένα μαλλιά σε δεξίωση…

Γράφει ο Διονύσης Γάκης*

Διανύουμε τις πρώτες εβδομάδες του Αυγούστου, ενός μήνα που είναι συνδεδεμένος με την ψυχική και σωματική ανάταση. Επομένως, αυτή τη φορά επιλέγουμε να φιλοξενήσουμε ένα διαφορετικό άρθρο, το οποίο έχει λογοτεχνικό περιεχόμενο, για να συντροφεύσει τους αναγνώστες μας σε αυτές τις στιγμές χαλάρωσης. Απολαύστε το.

«Η πίστη είναι κάτι δόλιο και υποκειμενικό». Ήταν η φράση που τον έκανε να συνέλθει από το μούδιασμα που είχε πιάσει να απλώνεται σε όλο του το πρόσωπο, με πηγή το δεξί του μάγουλο που είχε ξεκουράσει για μερικά λεπτά μέσα στην χούφτα του. Η φράση άνηκε σε έναν ποιμένα (;) κάποιου βραζιλιάνικου δόγματος νέο-χριστιανισμού.

Ήταν αδύνατο και άσκοπο να ανακαλέσει στη μνήμη του την αλληλουχία αναζητήσεων που τον οδήγησαν στην ενδιαφέρουσα αυτή συνέντευξη του Γιομάτας Νιγκέιρο, ιδρυτή του ποιμνίου και τοπικού παράγοντα, ευαισθητοποιημένου σχετικά με την ανάγκη πιστοποίησης-ευλογίας, από την εκκλησία του, του διάσημου τσαγιού της βραζιλιάνικης επαρχίας Πίντο Παρένσε, σε κάθε συσκευασία παρασκευής του προϊόντος.

Ανακίνησε τον καφέ του και έσπρωξε με το δεξί του χέρι  χαρτιά γεμάτα με πρόχειρες σημειώσεις, κίνηση που σήμαινε πως ήταν έτοιμος να πιάσει δουλειά. Ήταν διαυγής και συγκεντρωμένος. Άλλωστε για αυτό πληρωνόταν τόσο καλά σε σχέση με τους συνομηλίκους του. Δικηγόρος, μάλλον καλύτερα νομικός.

Πάντα είχε αυτοπεποίθηση, όχι τόσο σε σχέση με την γνώση που κατείχε, αλλά με την ικανότητά του να έχει άμεσα πρόσβαση σε αυτήν. Γρήγορος, μεθοδικός, αποτελεσματικός. Αυτοί οι χαρακτηρισμοί του έδωσαν αυτήν την θέση και αυτή η θέση του έδωσε αυτήν την υπόθεση. Αν κάποιος μπορούσε να χειριστεί τις βάσεις νομικών δεδομένων με τέτοια ακρίβεια που να μην αφήνει περιθώριο λάθους ήταν αυτός. Έπρεπε να απαντήσει γρήγορα. Μέχρι το τέλος του ωραρίου, μέχρι το τέλος της μέρας.

Δεν ήταν τόσο δύσκολο όσο φαινόταν στην αρχή. Έκανε ό,τι  έκανε πάντα, τίποτε διαφορετικό. Όπως λειτουργούσε εκμεταλλευόμενος κάθε δυνατή πληροφορία που ήδη είχε και καθεμία που μπορούσε να βρει εύκολα. Ένιωθε το κεφάλι του να βράζει και τα μάτια του στεγνά, ήταν πολλές οι ώρες που χτυπούσε με μανία τα πλήκτρα. Δεν είχε αυτό που ήθελε στη λευκή σελίδα, ούτε στους πίνακες. Δεν είχε αυτό που ήθελε. Έβαλε το μυαλό του σε εγρήγορση. Έσφιγγε τους μύες του κεφαλιού του λες και αυτό θα πίεζε το μυαλό του να δουλέψει πιο γρήγορα. Ζεστάθηκε από την προσπάθεια, από την πίεση και ίδρωσε.

Μετά από τόση ώρα συνειδητοποίησε ότι είχε γυρίσει στην αρχή, καμία πρόοδος. Οι κινήσεις του είχαν αρχίσει να γίνονται ακατανόητες. Ξεκινούσε να γράφει προτάσεις χωρίς να έχει στο νου πως θα τις τελειώσει, απλά με την ελπίδα πως γράφοντας θα του ερχόταν κάποια ιδέα, λες και κάποια λέξη θα αποκάλυπτε ποια θα της ταίριαζε να την ακολουθήσει επόμενη στο κείμενό του. Ήταν οργισμένος γιατί δεν είχε απάντηση. Χρησιμοποίησε όποια μέθοδο ήξερε, κάθε βάση δεδομένων και κάθε λογισμικό, κάθε συμβουλή και κάθε ένστικτο.

Είχε τόση ώρα να γράψει κάτι που η οθόνη έσβησε και πάνω της έβλεπε το είδωλό του. Το κοίταζε επίμονα για να δει αν στο πρόσωπό του κυριαρχούσε ο θυμός ή η απογοήτευση. Άρχισε να ζεσταίνεται πολύ και να νιώθει αγχωμένος, σα να τον πιάνει παραλήρημα. Έσφιξε τους καρπούς του στις λαβές της καρέκλας για να νιώσει τα χέρια του και να μην χάσει τις αισθήσεις του.

Τότε, σήκωσε το κεφάλι και το είδωλό του φαινόταν ανήμπορο και φοβισμένο, όμως δεν έμοιαζε πλέον με δικό του αντικατοπτρισμό, αλλά με κάτι αυτόνομο. Η οθόνη δεν ήταν μαύρη, τα χρώματα του περιβάλλοντος του γραφείου έδιναν στην εικόνα την γνώριμη όψη του. Τινάχτηκε ταραγμένος από την θέση του όμως το είδωλό του παρέμεινε στη θέση του. Γύρισε αργά το κεφάλι του φοβισμένος για να δει που βρίσκεται.

Βρισκόταν σε μια ολοσκότεινη αίθουσα με μια τραπεζαρία ακριβώς στο κέντρο της. Στην τραπεζαρία έπεφτε ένα πηχτό κίτρινο φώς, από τέσσερις μεγάλες λάμπες γραφείου που βρίσκονταν από μία σε κάθε ορίζοντα, πάνω σε σωρούς από χαρτιά ανακατεμένα, ενώ μερικά από αυτά πήγαιναν και έρχονταν στα χέρια κάποιων μορφών που φαίνονταν να κάθονται γύρω της. Παρατήρησε τις μορφές σμίγοντας τα φρύδια του και συγκεντρώνοντας το βλέμμα του. Όσο πιο πολύ τις παρατηρούσε τόσο πιο ευδιάκριτες γίνονταν.

Ήταν επτά μορφές καθισμένες σε καρέκλες σε μια οβάλ διάταξη γύρω από την τραπεζαρία. Κάποιες φορούσαν κοστούμι και κάποιες είχαν βγάλει το σακάκι και το είχαν περάσει στην πλάτη της καρέκλας τους δουλεύοντας με τα μανίκια σηκωμένα. Έγραφαν και σημείωναν κάτι ο ένας στο χαρτί του άλλου και καμιά φορά γελούσαν. Πλησίασε αρκετά μα εκείνες δεν μπορούσαν να τον προσέξουν. Έπειτα παίρνοντας θάρρος και αφού τις είχε παρατηρήσει αρκετά ώστε να είναι σίγουρος πως επρόκειτο για επτά σοβαρούς άνδρες – μάλλον επιχειρηματίες και συμβούλους, αν και ο ρόλος του καθενός δεν ήταν εύκολα αναγνώσιμος με βάση την στάση του σώματός τους – προσπάθησε επίμονα και μάταια για αρκετή ώρα να τους κάνει να τον δουν.

Τώρα είχε πάει ακριβώς από πάνω τους και κοίταζε τα χαρτιά τους. Δεν καταλάβαινε τίποτα. Έκανε να πιάσει ένα με το χέρι και το έφερε κάτω από την πιο κοντινή του λάμπα για να διαβάσει τι έλεγε. Ήταν μια αδιάκοπη σειρά από ψηφία 0 και 1. Το δυαδικό σύστημα. Δεν καταλάβαινε τίποτα. Έπαιρνε διαρκώς νέα χαρτιά μιας και δεν τον καταλάβαιναν και έφτασε να τους παίρνει ακόμα και αυτά που κρατούσαν στα χέρια τους.

Βρήκε μερικά στα κινέζικα, άλλα στα αραβικά, κάποια στα ισπανικά και στα αγγλικά. Από όσα μπορούσε να καταλάβει από το αγγλικό κείμενο το περιεχόμενο αφορούσε στο ερώτημα που έψαχνε όλη μέρα. Έψαχνε τα χαρτιά συνεχώς και έβρισκε όλο και πιο πολλά στοιχεία που τον έκαναν να αναθαρρήσει. Μετά από μερικά λεπτά βρήκε αυτό που ήθελε. Ήταν προφανές από την αρχή, ήταν εκεί μπροστά στα μάτια του, ένα γυαλιστερό φύλλο χαρτί στα δεξί χέρι του άνδρα με το σακάκι που καθόταν στην κεφαλή της τραπεζαρίας, του μόνου που δεν είχε κάποιον άλλον απέναντί του. Πήρε το χαρτί και άρχισε να το διαβάζει βιαστικά για να μάθει όσο το δυνατόν πιο γρήγορα.

Δεν πρόλαβε όμως. Οι άντρες σηκώθηκαν απότομα, μάζεψαν όλα τα χαρτιά, μαζί κι αυτό που είχε στο χέρι, δύο από αυτούς άνοιξαν τις κουρτίνες και μπήκε φως παντού στο δωμάτιο, ενώ αυτοί έφυγαν βιαστικά. Γύρισε το βλέμμα του και η τραπεζαρία είχε εξαφανιστεί, το δωμάτιο ήταν πλέον φωτεινό και του έβγαζε μια ζεστασιά, το γνώριζε αυτό το δωμάτιο. Ήταν το παιδικό του δωμάτιο, τα παιχνίδια και οι ζωγραφιές στους τοίχους ήταν όλα εδώ όπως τα θυμόταν.

Για κάποιον ακατανόητο λόγο δεν του φάνηκε περίεργο που είδε τους γονείς του σκυφτούς στα γόνατά τους να συμπληρώνουν ένα παζλ. Ούτε ακόμη όταν είδε την τρίχρονη εκδοχή του εαυτού του σε ένα παιδικό πάρκο να θέλει να βγει από αυτό για να παίξει με το πάζλ. Το παιδί είχε στο πάρκο όσα παιχνίδια ήταν κατάλληλα για αυτό, για την ηλικία του. Δεν ήθελε να παίξει άλλο μ’ αυτά, τα είχε βαρεθεί, τα είχε χιλιοπαίξει και τα ήξερε απ’ έξω κι ανακατωτά. Ήθελε το πάζλ και έβαζε όλες του τις δυνάμεις να βρει τρόπο να βγει από εκεί. Έκανε ασυναίσθητα μερικά βήματα και στάθηκε πάνω από τους γονείς του. Όπως και πριν με τους κυρίους, έτσι και τώρα κανείς δεν αντιλαμβανόταν την παρουσία του.

Το πάζλ δεν ήθελε παρά μερικά κομμάτια στις γωνίες για να ολοκληρωθεί και η εικόνα που είχε σχηματιστεί τον έκανε να νιώσει ότι ήταν σίγουρος από πριν γι’ αυτό που θα έβλεπε. Ήταν ίδια με το κομμάτι χαρτί που του είχαν πάρει από το χέρι. Ήταν η απάντησή του. Ήταν η δουλειά του.

Άνοιξε τα μάτια του και κοίταξε το είδωλό του στην μαύρη οθόνη του υπολογιστή. Του φάνηκε πως τον είδε να κοιμάται.

*Ο Διονύσης Γάκης είναι δικηγόρος Αθηνών. Σπούδασε στην Κομοτηνή και είναι απόφοιτος του τμήματος Νομικής του Δημοκρίτειου Πανεπιστημίου Θράκης. Επίσης, είναι τελειόφοιτος του Μεταπτυχιακού Προγράμματος Σπουδών στο Δίκαιο Ανταγνωνισμού και Εταιριών του Δημοκρίτειου Πανεπιστημίου Θράκης. Ζει και εργάζεται στην Αθήνα. Βρίσκει στη νομική επιστήμη τη βάση για την κατανόηση της κίνησης της οικονομίας. 

Γράφει ο Λευτέρης Χελιουδάκης

Στις 22 Ιουλίου η EDRi, μαζί με άλλες 29 οργανώσεις της κοινωνίας των πολιτών από διάφορα κράτη μέλη της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένης της Homo Digitalis, απηύθυνε ανοιχτή επιστολή προς την εκλεγμένη Πρόεδρο της Ευρωπαϊκής Επιτροπής, Ursula von der Leyen, και τον Πρώτο Αντιπρόεδρο της Ευρωπαϊκής Επιτροπής, Frans Timmermans.

Με την επιστολή αυτή ζητάμε να διασφαλιστεί ότι η νομοθεσία περί διατήρησης μεταδεδομένων ηλεκτρονικών επικοινωνιών στα Κράτη Μέλη της ΕΕ θα ευθυγραμμιστεί επιτέλους με τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) και τις διατάξεις του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ.

Με τον όρο «μεταδεδομένα» ορίζονται τα δεδομένα κίνησης και θέσης και τα συναφή δεδομένα, τα οποία υποχρεούνται να διατηρούν οι πάροχοι ηλεκτρονικών επικοινωνιών ή δημοσίου δικτύου επικοινωνιών. Αυτά περιλαμβάνουν, μεταξύ άλλων, το ονοματεπώνυμο και τη διεύθυνση του συνδρομητή ή του εγγεγραμμένου χρήστη, τον αριθμό τηλεφώνου του καλούντος και τον αριθμό του καλουμένου,  τη διεύθυνση IP για τις υπηρεσίες του διαδικτύου, τον τερματικό εξοπλισμού του συνδρομητή ή και χρήστη, την ημερομηνία και ώρα έναρξης/λήξης καθώς και τη διάρκεια της επικοινωνίας, τον όγκο των διαβιβασθέντων δεδομένων, πληροφορίες σχετικά με το πρωτόκολλο, τη μορφοποίηση και τη δρομολόγηση της επικοινωνίας, το δίκτυο από το οποίο προέρχεται ή στο οποίο καταλήγει η επικοινωνία, και τα δεδομένα που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών.

Τα δεδομένα αυτά παρέχουν τη δυνατότητα, μεταξύ άλλων, διαπίστωσης της ταυτότητας του προσώπου με το οποίο ο συνδρομητής ή ο εγγεγραμμένος χρήστης επικοινώνησε, του μέσου με το οποίο έγινε η επικοινωνία, καθώς και τη δυνατότητα προσδιορισμού του χρόνου της επικοινωνίας και της γεωγραφικής θέσης από την οποία έλαβε χώρα η επικοινωνία αυτή. Επιπλέον, τα δεδομένα αυτά παρέχουν τη δυνατότητα να διαπιστωθεί η συχνότητα των επικοινωνιών του συνδρομητή ή του εγγεγραμμένου χρήστη με συγκεκριμένα πρόσωπα σε δεδομένη χρονική περίοδο.

Με απλά λόγια τα μεταδεδομένα επιτρέπουν να διαπιστωθεί ποιος μίλησε με ποιον, μέσω ποιων συσκευών, πότε, για πόση διάρκεια, καθώς και πού κατά προσέγγιση βρίσκονταν αυτοί οι χρήστες κατά τη συνομιλία τους. Επομένως, τα μεταδεδομένα δεν αφορούν το περιεχόμενο της επικοινωνίας αλλά όλα τα άλλα συνοδευτικά στοιχεία αυτής.

Αιτία της επιστολής αυτής στάθηκε το έγγραφο που δημοσίευσε στις αρχές Ιουνίου το Συμβούλιο της ΕΕ. Σύμφωνα με αυτό, το Συμβούλιο συμπεραίνει πως η διατήρηση μεταδεδομένων ηλεκτρονικών επικοινωνιών αποτελεί ένα βασικό εργαλείο για την αποδοτική διερεύνηση εγκλημάτων, και καλεί την Ευρωπαϊκή Επιτροπή να διεξάγει έρευνα σχετικά με πιθανές λύσεις για την διατήρηση δεδομένων ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένης μίας μελλοντικής ενωσιακής νομοθετικής πρωτοβουλίας στον τομέα αυτό.

Με αφορμή την επιστολή αυτή, αξίζει να κάνουμε μια σύντομη αναδρομή σχετικά με την ευρωπαϊκή ιστορία της διατήρησης μεταδεδομένων ηλεκτρονικών επικοινωνιών, καθώς και να αναλογιστούμε την κατάσταση που επικρατεί σήμερα στην ΕΕ και στη χώρα μας.

Γράφει ο Γιάννης Κωνσταντινίδης*

Αυτό το άρθρο εξετάζει επιφανειακά τρεις βασικές τεχνολογίες που χρησιμοποιούνται για την πρόσβαση σε υπηρεσίες του Διαδικτύου και αναδεικνύει τους μηχανισμούς που επιτρέπουν την περαιτέρω ενίσχυση της ιδιωτικότητας των χρηστών. Παράλληλα, αποσαφηνίζει μερικές λανθασμένες αντιλήψεις σχετικά με τη φύση και τη λειτουργία αυτών των τεχνολογιών και προτείνει τρόπους προφύλαξης από συνηθισμένες κακόβουλες ενέργειες.

HTTPS

Τα HTTP και HTTPS πρόκειται για δύο πρωτόκολλα που χρησιμοποιούνται στη δικτυακή επικοινωνία στο επίπεδο των εφαρμογών και είναι ιδιαίτερα γνωστά για την πρόσβαση σε υπηρεσίες του ιστού, κοινώς για την περιήγηση σε ιστοσελίδες, μέσα από κάποιον φυλλομετρητή ιστού (web browser).

Το HTTPS, σε αντίθεση με το HTTP, διαθέτει πρόσθετα χαρακτηριστικά ασφάλειας και αξιοποιεί το κρυπτογραφικό πρωτόκολλο TLS για την προστασία της εμπιστευτικότητας (confidentiality) και της ακεραιότητας (integrity) των δεδομένων που μεταδίδονται. Αυτό είναι ιδιαίτερα σημαντικό στην περίπτωση που αποστέλλονται «ευαίσθητες» πληροφορίες, όπως π.χ. κωδικοί πρόσβασης σε ιστοσελίδες.

Απεναντίας, στο πρωτόκολλο HTTP τα δεδομένα διαβιβάζονται σε μορφή απλού κειμένου (plain text) και επομένως είναι πάρα πολύ εύκολη η υποκλοπή ή/και η τροποποίηση τους από τρίτους.

Στο Διαδίκτυο, αρκετές φορές, γίνεται αναφορά αποκλειστικά στο πρωτόκολλο SSL. Ωστόσο, τo πρωτόκολλο SSL πλέον δε χρησιμοποιείται στην πράξη και έχει αντικατασταθεί από το TLS. Ένας από τους λόγους που εξακολουθεί να επικρατεί το ακρωνύμιο SSL είναι ενδεχομένως η εξαιρετικά δημοφιλής βιβλιοθήκη OpenSSL που υλοποιεί τα προαναφερόμενα πρωτόκολλα. Παρομοίως, πολύ συχνά υπάρχει αναφορά ως SSL/TLS σε υλοποιήσεις του πρωτοκόλλου TLS.

Δυστυχώς, το TLS δεν προσφέρει προστασία από επιθέσεις ανάλυσης της δικτυακής κίνησης (traffic analysis attacks). Ναι μεν τα δεδομένα μεταφέρονται κρυπτογραφημένα και παρέχεται έλεγχος της ακεραιότητας τους, αλλά κάποιος κακόβουλος χρήστης μπορεί να παρακολουθήσει τα δικτυακά πακέτα που μεταφέρονται και να αντλήσει βασικές πληροφορίες όπως για παράδειγμα τους ιστότοπους που επισκέπτεται το «θύμα» του.

Πιστοποιητικά

Το παρόν άρθρο δεν σκοπεύει να μελετήσει αναλυτικά τον τρόπο με τον οποίο λειτουργούν τα ψηφιακά πιστοποιητικά, ούτε και να εξηγήσει την εκκίνηση της διαδικασίας ασφαλούς σύνδεσης–που ονομάζεται χειραψία (handshake)–μεταξύ του χρήστη και της Διαδικτυακής υπηρεσίας.

Κάθε Διαδικτυακή υπηρεσία που επιθυμεί να υποστηρίξει ασφαλείς συνδέσεις, μέσω HTTPS και TLS, καλείται να εφαρμόσει και να εγκαταστήσει ένα πιστοποιητικό το οποίο εγκρίνεται από μια αρχή πιστοποίησης (certificate authority). Σκοπός είναι να ταυτοποιηθεί η Διαδικτυακή υπηρεσία και να εξασφαλιστεί ότι οι εκάστοτε χρήστες επικοινωνούν με την επιθυμητή υπηρεσία.

Οι φυλλομετρητές ιστού είναι εξαρχής προγραμματισμένοι να αναγνωρίζουν ψηφιακά πιστοποιητικά που εγκρίνονται από αξιόπιστες αρχές πιστοποίησης, ειδάλλως εμφανίζουν προειδοποιητικά μηνύματα και είναι στην αποκλειστική ευχέρεια του χρήστη να επιλέξει εάν θα ανταλλάξει πληροφορίες με την αντίστοιχη ιστοσελίδα.

Τέλος, κάθε πιστοποιητικό διαθέτει ημερομηνία λήξης και πρέπει να ακολουθηθεί συγκεκριμένη διαδικασία (από τον ιδιοκτήτη του) για την ανανέωση του.

Στην μπάρα πλοήγησης του φυλλομετρητή ιστού όπου διακρίνεται το https://www.homodigitalis.gr, έχει πραγματοποιηθεί σύνδεση μέσω HTTPS (και ακολούθως TLS) στην ιστοσελίδα της Homo Digitalis και η αρχή πιστοποίησης Let’s Encrypt (επισημασμένη σε κόκκινο πλαίσιο) επιβεβαιώνει την ταυτότητα της Homo Digitalis.

Συχνές Παγίδες

Αρκετές προχωρημένες επιθέσεις «ψαρέματος» (phishing) που έχουν στόχο την υποκλοπή στοιχείων, όπως π.χ. λογαριασμών χρηστών και αριθμών πιστωτικών/χρεωστικών καρτών, χρησιμοποιούν πιστοποιητικά και υλοποιούν ιστοσελίδες πανομοιότυπες με τις πραγματικές ξεγελώντας με αυτόν τον τρόπο τα υποψήφια «θύματα» τους.

Συνήθως προηγείται η αποστολή ενημερωτικού μηνύματος μέσω ηλεκτρονικής αλληλογραφίας ή μέσω κοινωνικού δικτύου που προτρέπει τον χρήστη σε κάποια ενέργεια επισκεπτόμενος την (φαινομενικά πραγματική) ιστοσελίδα.

Στα παρακάτω στιγμιότυπα φαίνονται δύο τέτοιες καλοστημένες απόπειρες υποκλοπής. Ας δοθεί όμως προσοχή στους συνδέσμους (επισημασμένοι σε κόκκινα πλαίσια) – στο ένα στιγμιότυπο είναι π.χ. https://instagram.com-unsuspend.mx και όχι https://instagram.com όπως φυσιολογικά θα έπρεπε.

Στιγμιότυπα όπου φαίνονται ιστοσελίδες ψαρέματος πανομοιότυπες με τις πραγματικές, αλλά με κύρια διαφορά τους συνδέσμους που διαφέρουν από τους γνωστούς και πραγματικούς. Γίνεται χρήση πιστοποιητικών, ωστόσο αυτό δε σημαίνει ότι δε μπορούν να πραγματοποιηθούν κακόβουλες ενέργειες.
Πηγη: https://blogs.cisco.com/security/the-light-is-green-but-is-it-safe-to-go-abusing-users-faith-in-https 

Πολύ μεγάλη προσοχή, λοιπόν, πρέπει να δίνεται στο σύνδεσμο (URL) που φαίνεται στη μπάρα διεύθυνσης (address bar) του φυλλομετρητή ιστού. Οι σύνδεσμοι προς phishing ιστοσελίδες τείνουν να μοιάζουν σε σημαντικό βαθμό με τους πραγματικούς συνδέσμους, αλλά παρόλα αυτά εμφανίζουν διαφορές.

Δηλαδή, υπάρχει ουσιώδης διαφορά μεταξύ https://www.homodigitalis.gr (πραγματικός σύνδεσμος) και https://www.h0modigitalis.gr (ψεύτικος σύνδεσμος).

Το γεγονός ότι το https://www.h0modigitalis.gr μπορεί να διαθέτει πιστοποιητικό και ότι ακολούθως ο φυλλομετρητής ιστού παρουσιάζει το περίφημο «πράσινο λουκέτο» δεν εξασφαλίζει ότι δεν πρόκειται για κακόβουλη ιστοσελίδα. Απλά υποδηλώνει, σύμφωνα με όσα ειπώθηκαν και παραπάνω στο άρθρο, ότι όντως υπάρχει σύνδεση με το https://www.h0modigitalis.gr και ότι η σύνδεση είναι κρυπτογραφημένη. Δεν προστατεύει, συνεπώς, τους χρήστες από εκλεπτυσμένες επιθέσεις phishing.

VPNs

Τα εικονικά ιδιωτικά δίκτυα (virtual private networks) μπορούν να χρησιμοποιηθούν ως ενδιάμεσοι κόμβοι μεταξύ του χρήστη και της εκάστοτε Διαδικτυακής υπηρεσίας. Αναλαμβάνουν ουσιαστικά την παραλαβή των δεδομένων από τον αποστολέα και την επαναπροώθηση τους στο δέκτη.

Μπορούν να χρησιμοποιηθούν στην απόκρυψη της δικτυακής κίνησης και με αυτόν τον τρόπο κάποιος κακόβουλος αναλυτής που παρακολουθεί τις επικοινωνίες, ή ακόμα και ο πάροχος υπηρεσιών Διαδικτύου (Internet service provider), δεν είναι σε θέση να γνωρίζει επακριβώς τη συμπεριφορά του χρήστη.

Υπάρχουν φυσικά, υπό προϋποθέσεις, μερικές εξαιρέσεις σε αυτό αν και προς το παρόν δεν πρόκειται να γίνει λεπτομερής αναφορά σε αυτές. Η χρήση VPNs ως ένα επιπρόσθετο μέτρο προστασίας είναι επομένως ιδανική για τη σύνδεση σε δίκτυα που δε θεωρούνται ασφαλή, όπως π.χ. σε κάποιο ανοικτό (open) ασύρματο σημείο πρόσβασης που μπορεί να παρακολουθείται. Επιπλέον, με τη σύνδεση σε VPNs μπορούν να παρακαμφθούν γεωγραφικοί ή άλλοι περιορισμοί που τακτικά ορίζονται από τις υπηρεσίες Διαδικτύου.

Όπως αναφέρθηκε προηγουμένως, οι συνδέσεις μέσω HTTPS προστατεύουν το περιεχόμενο των μηνυμάτων που μεταδίδονται αλλά μπορούν να «προδώσουν» κάποια βασικότερα στοιχεία συμπεριλαμβανομένων των ιστοτόπων που επισκέπτεται οποιοσδήποτε χρήστης. Σε συνδυασμό βέβαια με τη σύνδεση σε VPNs μπορεί να αποφευχθεί αυτό το ενδεχόμενο.

Με μια αναζήτηση στο Διαδίκτυο, μπορούν να βρεθούν πολλοί πάροχοι συνδρομητικών υπηρεσιών για πρόσβαση σε VPNs. Συνιστάται η λεπτομερής έρευνα και η προσεκτική επιλογή ενός παρόχου που διαθέτει καλή φήμη και αξιολογήσεις.

Διαφορετικά υπάρχει κίνδυνος οι πάροχοι να καταγράφουν (logging) τις δραστηριότητες των συνδρομητών τους σε ειδικά αρχεία, ή/και να βασίζονται σε παρωχημένες τεχνολογίες και πρωτόκολλα, ή/και να έχουν πραγματοποιήσει κακή υλοποίηση με αποτέλεσμα να εκτίθενται σημαντικά στοιχεία για τους συνδρομητές και τη συμπεριφορά τους. Εξαιρετικά σημαντικό επίσης είναι να χρησιμοποιούνται τα πρωτόκολλα IKEv2/IPSec ή OpenVPN τα οποία θεωρούνται αξιόπιστα.

DNS

Κάθε συσκευή που συνδέεται στο Διαδίκτυο αποκτά μία μοναδική διεύθυνση IP που είναι εύκολα κατανοητή και διαχειρίσιμη από τους ηλεκτρονικούς υπολογιστές αλλά ομολογουμένως απομνημονεύεται δυσκολότερα από τον άνθρωπο.

Μία τυπική IPv4 διεύθυνση έχει τη μορφή xxx.xxx.xxx.xxx και αναπαρίσταται με δεκαδικό συμβολισμό (decimal notation), ενώ μια νεότερου τύπου IPv6 διεύθυνση έχει τη μορφή xxxx:xxxx:xxxx:xxxx και αναπαρίσταται με δεκαεξαδικό συμβολισμό (hexadecimal notation).

Το σύστημα ονομάτων χώρου (domain name system) έχει ως σκοπό να αντιστοιχίζει ορισμένες από τις διευθύνσεις αυτές με ονόματα χώρου (domain names). Κάθε φορά που χρησιμοποιείται για παράδειγμα το ευκολομνημόνευτο όνομα χώρου homodigitalis.gr, αυτό μεταφράζεται απευθείας στη διεύθυνση IPv4 95.216.16.146.

Την αντιστοίχιση αυτή αναλαμβάνουν οι εξυπηρετητές DNS (DNS servers), οι οποίοι είναι κεντρικοί υπολογιστές που βρίσκονται σε κάθε μέρος του πλανήτη και ανήκουν τυπικά σε παρόχους υπηρεσιών και μεγάλους δημόσιους και ιδιωτικούς οργανισμούς.

Οι περισσότεροι από αυτούς τους εξυπηρετητές τείνουν να διατηρούν αρχεία καταγραφής (logs), δηλαδή έχουν τη δυνατότητα να σημειώνουν τα αιτήματα για συσχετίσεις μεταξύ διευθύνσεων και ονομάτων χώρων που πραγματοποιούν οι χρήστες.

Οι οικιακοί ηλεκτρονικοί υπολογιστές που συνδέονται στο Διαδίκτυο, μέσω των γνωστών παρόχων υπηρεσιών Διαδικτύου, συνήθως χρησιμοποιούν τους προεπιλεγμένους ανά τοποθεσία εξυπηρετητές DNS των παρόχων. Γενικά υπάρχει η δυνατότητα για αλλαγή των ρυθμίσεων στο επίπεδο του οικιακού διαποδιαμορφωτή/δρομολογητή (modem/router) που διαθέτει ο συνδρομητής, ή έστω στο επίπεδο του λειτουργικού συστήματος μέσω του προεγκατεστημένου λογισμικού διαχείρισης δικτύου (network management), ούτως ώστε να οριστούν εξυπηρετητές DNS διαφορετικοί από τους προκαθορισμένους.

Με μία σχετική αναζήτηση στο Διαδίκτυο μπορούν να βρεθούν διευθύνσεις γνωστών εξυπηρετητών DNS που υπόσχονται το σεβασμό της ιδιωτικότητας των χρηστών τους.

DNS Leaks

Πολλοί πάροχοι VPNs κατέχουν και λειτουργούν ιδιωτικούς εξυπηρετητές DNS για την προστασία της ιδιωτικότητας των συνδρομητών τους. Όμως, εάν έχουν καταχωρηθεί εσφαλμένες ρυθμίσεις για τη δικτύωση με το VPN ή/και σε κάποιες άλλες ειδικότερες περιπτώσεις, υπάρχει το ενδεχόμενο να χρησιμοποιηθούν οι προεπιλεγμένοι εξυπηρετητές DNS του παρόχου υπηρεσιών Διαδικτύου αντί για τους ιδιωτικούς εξυπηρετητές DNS του παρόχου VPN.

Άρα, με λίγα λόγια, ο πάροχος υπηρεσιών Διαδικτύου θα είναι δυνητικά σε θέση να γνωρίζει στοιχεία για τη συμπεριφορά του χρήστη παρόλο που γίνεται χρήση υπηρεσίας VPN. Αυτό το φαινόμενο ονομάζεται διαρροή DNS (DNS leak). Στο Διαδίκτυο υπάρχουν αρκετά εργαλεία για τον έλεγχο και τον εντοπισμό τέτοιων διαρροών.

Σκέψεις και Συμπεράσματα

Τα τελευταία τριάντα έτη έχουν προκύψει ραγδαίες εξελίξεις στο χώρο της πληροφορικής και των τηλεπικοινωνιών. Πλέον μεταφέρονται με άνεση τεράστιοι όγκοι προσωπικών δεδομένων από ένα σημείο του πλανήτη σε ένα άλλο, μέσα σε λίγα δευτερόλεπτα.

Μεγάλες εταιρείες και οργανισμοί διατηρούν κολοσσιαία σύνολα από ψηφιακά αρχεία που περιέχουν λεπτομέρειες για τις πολύπλευρες πτυχές του ιδιωτικού βίου εκατομμυρίων ανθρώπων.

Πέραν από τις τεχνολογίες που μπορούν να χρησιμοποιηθούν για την ενίσχυση της ιδιωτικότητας των χρηστών του Διαδικτύου, εξίσου σημαντική είναι η ευαισθητοποίηση (awareness) των ατόμων γύρω από τους κινδύνους που ελλοχεύουν από την αλόγιστη και ανήθικη συλλογή και επεξεργασία προσωπικών δεδομένων και η απαίτηση από τους οργανισμούς να χειρίζονται τα προσωπικά δεδομένα με σύνεση εφαρμόζοντας κατάλληλα τεχνικά και οργανωτικά μέτρα. Μόνο έτσι μπορούν να γίνονται σκέψεις για ένα πραγματικά ασφαλές Διαδίκτυο.

*Ο Γιάννης Κωνσταντινίδης είναι τελειόφοιτος φοιτητής στο Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου. Συμμετέχει επί έτη σε πολλαπλά έργα ελεύθερου και ανοικτού λογισμικού και δίνει ομιλίες σχετικά με θέματα ιδιωτικότητας και προστασίας δεδομένων, πνευματικών δικαιωμάτων και ανοικτών τεχνολογιών.

Γράφει η Αναστασία Καραγιάννη*

Πριν λίγες εβδομάδες κλείσαμε ένα χρόνο από τη θέση σε ισχύ του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων της Ευρωπαϊκής Ένωσης [1].

Κάποιοι μπορούν να υποστηρίξουν ότι η υιοθέτηση του Κανονισμού συνέβαλε στην ουσιαστική προστασία των δικαιωμάτων του παιδιού στον ψηφιακό χώρο, καθώς με βάση τον Κανονισμό χρειάζεται η συγκατάθεση των γονέων τόσο για την συλλογή, αποθήκευση, επεξεργασία και διανομή των προσωπικών δεδομένων του παιδιού, όσο και για την συμμετοχή του στην κοινωνία της πληροφορίας.

Άλλοι, αντιθέτως, μπορούν να υποστηρίξουν ότι όντως ο Κανονισμός έθεσε κάποιες βάσεις για την παιδική προστασία στον ψηφιακό χώρο.

Ωστόσο, οι προκλήσεις είναι ακόμη πολλές και ο δρόμος προς την ουσιαστική κατοχύρωση και εφαρμογή των δικαιωμάτων του παιδιού στον ψηφιακό χώρο είναι μακρύς.

Κατά πρώτο λόγο, ένα από τα θεμελιώδη δικαιώματα του παιδιού που χρήζει προστασίας στο ψηφιακό περιβάλλον είναι το δικαίωμα συμμετοχής και το δικαίωμα να ακούγεται και να λαμβάνεται υπόψη η γνώμη του παιδιού κατά την λήψη των αποφάσεων. Τα παιδιά, μολονότι είναι ενεργά στο διαδίκτυο, και εν γένει στον ψηφιακό χώρο, δεν έχουν την δυνατότητα να συμμετέχουν κατά την λήψη των αποφάσεων. Με άλλα λόγια, δε δίνεται η δυνατότητα στο παιδί να εκφράσει την άποψή του, τις επιθυμίες του και τις εμπειρίες του προτού ληφθούν οι πολιτικές αποφάσεις που θα επηρεάσουν σημαντικά την ζωή του. 

Για παράδειγμα, ο Οργανισμός Eurochild διοργανώνει σε ετήσια βάση ένα Συνέδριο στο οποίο συμμετέχουν παιδιά ηλικίας 11 έως 16 ετών, που εκπροσωπούν κάθε κράτος μέλος της Ευρωπαϊκής Ένωσης, και εκφράζουν την άποψή τους πάνω σε συγκεκριμένα ζητήματα που τίθενται προς συζήτηση.

Κατ’ αυτόν τον τρόπο, τα παιδιά αλληλεπιδρούν τόσο μεταξύ τους, όσο και με ειδικούς εμπειρογνώμονες και πολιτικούς, οι οποίοι αν και δεν συμμετέχουν στο συμβούλιο, λαμβάνουν υπόψη κατά την λήψη των αποφάσεων τις απόψεις που υποστηρίχθηκαν σε αυτό.

Ακόμη, η Unicef διοργανώνει συναντήσεις και σεμινάρια, στα οποία μπορούν να συμμετέχουν τα παιδιά και να αλληλεπιδρούν μεταξύ τους καθώς και με ειδικούς της Unicef. Το υλικό που προκύπτει από αυτές τις συναντήσεις χρησιμοποιείται από την Unicef κατά την διαδικασία λήψης πολιτικών αποφάσεων.

Η εφαρμογή του δικαιώματος συμμετοχής δεν συνεπάγεται απαραίτητα την κατοχύρωση μιας θέσης, μιας ‘καρέκλας’, κατά την πολιτική συνδιάσκεψη. Αντιθέτως, σημαίνει την ενίσχυση του ενεργητικού ρόλου του παιδιού σε ζητήματα που το αφορούν και, κατά συνέπεια, της ψηφιακής κοινωνικής του υπευθυνότητας σε μία δημοκρατική κοινωνία.

Η επιρροή της συμμετοχής των παιδιών στις πολιτικές αποφάσεις καθορίζει και τον βαθμό αποτελεσματικότητας της συμμετοχής. Οι υπεύθυνοι χάραξης πολιτικής δεν αρκεί να διαβουλεύονται με τα παιδιά, αλλά να είναι πράγματι διατεθειμένοι να αλληλεπιδράσουν μαζί τους και να ακούσουν πράγματι την γνώμη τους, λαμβάνοντάς την σοβαρά υπόψη.

«Ο γονέας ή ο ασκών την γονική μέριμνα θα πρέπει να ‘ακούει’ τις κοινωνικές και ψυχολογικές ανάγκες του παιδιού, ώστε να το εκπαιδεύει κατάλληλα.»

Με αυτόν τον τρόπο, η δημιουργία μιας κουλτούρας φιλικής και ανοιχτής για αλληλεπίδραση με το παιδί ενισχύει την μείωση του ψηφιακού αναλφαβητισμού. Πιο συγκεκριμένα, ο ψηφιακός αλφαβητισμός δεν είναι μόνο η εκμάθηση τεχνικών γνώσεων, αλλά και η σωστή χρήση αυτών των δεξιοτήτων. Ο γονέας ή ο ασκών την γονική μέριμνα θα πρέπει να ‘ακούει’ τις κοινωνικές και ψυχολογικές ανάγκες του παιδιού, ώστε να το εκπαιδεύει κατάλληλα. Για παράδειγμα, αν το παιδί χρησιμοποιεί μία εφαρμογή εκγύμνασης ή απώλειας βάρους, που χρειάζεται τα βιομετρικά του δεδομένα, θα πρέπει να ενημερώσει το παιδί για τους κινδύνους παραβίασης των προσωπικών του δεδομένων που χειρίζεται αυτή η εφαρμογή. Ο ψηφιακός αλφαβητισμός, λοιπόν, δεν είναι μόνο η πληροφόρηση, αλλά και η σωστή πληροφόρηση.

Πολλές φορές, εξαιτίας της περιορισμένης πρόσβασης στην πληροφορία, λόγω έλλειψης τεχνικού εξοπλισμού ή περιορισμένης πρόσβασης στο διαδίκτυο, εμφανίζονται συμπεριφορές διακριτικής μεταχείρισης στον ψηφιακό χώρο, όπως ρατσιστικές, ξενοφοβικές, ομοφοβικές και σεξιστικές εκδηλώσεις.

Για αυτόν τον λόγο, οι ίσες ευκαιρίες πρόσβασης στην ψηφιακή γνώση, η υλοποίηση προγραμμάτων κατάρτισης, καθώς και η αύξηση των πόρων προκειμένου όλα τα παιδιά, από κάθε μειονοτική ομάδα και ευαλωτότητα, να έχουν πρόσβαση στα απαραίτητα εργαλεία και εξοπλισμό, συμβάλλει στην ενίσχυση του ψηφιακού αλφαβητισμού.

Ωστόσο, θα πρέπει να υπογραμμισθεί ότι και οι ενήλικες, οι γονείς και οι ασκούντες την γονική μέριμνα, χρειάζονται επιμόρφωση και κατάρτιση για την εξοικείωσή τους με τον ψηφιακό χώρο και τις προκλήσεις που αυτός θέτει.

Μιλώντας για εξοικείωση και γονείς, φυσικά δε θα μπορούσαμε να μην αναφερθούμε στον ρόλο των γονέων και των ασκούντων την γονική μέριμνα. Συγκεκριμένα, είναι σημαντικό οι γονείς να ξεπεράσουν την ιδεολογία του ‘προστατευτισμού’, της υπερβολικής αντίδρασης και της μονοδιάστατης λήψης των αποφάσεων, προστατεύοντας στην ουσία το βέλτιστο συμφέρον του παιδιού, επιτελώντας δηλαδή τον κύριο ρόλο τους ως γονείς και ασκούντες την γονική μέριμνα.

Οι γονείς και οι ασκούντες την γονική μέριμνα καλούνται να καλύψουν τις σωματικές, ψυχικές, πνευματικές και κοινωνικές ανάγκες του παιδιού, ακούγοντας πραγματικά τις ανάγκες και επιθυμίες του.

Τα παιδιά έχουν μεγαλώσει, πλέον, στον ψηφιακό χώρο. Είναι πολίτες του διαδικτύου, και το ίδιο καλούνται να κάνουν και οι γονείς και οι ασκούντες την γονική μέριμνα.

Γι’ αυτόν τον λόγο, οι γονείς και οι ασκούντες την γονική μέριμνα θα πρέπει να προσαρμοστούν στο ψηφιακό περιβάλλον, να ενημερώνονται για τους κινδύνους που κρύβει ζητώντας την υποστήριξη του κράτους και της κοινωνίας των πολιτών.

«Οι γονείς και οι ασκούντες την γονική μέριμνα θα πρέπει να εξοικειώσουν τα παιδιά από μικρή ηλικία με την έννοια της ιδιωτικότητας και των προσωπικών δεδομένων και να ελέγχουν την αλόγιστη έκθεσή τους στα μέσα κοινωνικής δικτύωσης.»

Φυσικά,  όσο επάγρυπνοι πρέπει να είναι οι γονείς ή οι ασκούντες την γονική μέριμνα με τους κινδύνους του διαδικτύου, τόσο προσεκτικοί πρέπει να είναι με τη δική τους ψηφιακή συμπεριφορά, όπως για παράδειγμα με τις φωτογραφίες και τις πληροφορίες των παιδιών που οι ίδιοι δημοσιεύουν στα μέσα κοινωνικής δικτύωσης και εν γένει στο διαδίκτυο. Αυτό σημαίνει επίσης ότι οι γονείς και οι ασκούντες την γονική μέριμνα θα πρέπει να εξοικειώσουν τα παιδιά από μικρή ηλικία με την έννοια της ιδιωτικότητας και των προσωπικών δεδομένων και να ελέγχουν την αλόγιστη έκθεσή τους στα μέσα κοινωνικής δικτύωσης. Μόνο με αυτόν τον τρόπο, το παιδί θα μπορέσει να βάλει όρια στο ψηφιακό περιβάλλον, να περιορίσει τις παραβιάσεις των δικαιωμάτων του και να τα προστατεύσει.

Συνοψίζοντας, τόσο τα κράτη όσο και o ιδιωτικός τομέας, οι εταιρίες μάρκετινγκ και διαφήμισης, θα πρέπει να θεωρούν τα παιδιά ως κατόχους δικαιωμάτων, να περιορίζουν τις πρακτικές χειραγώγησης και εκμετάλλευσης και τις παραβιάσεις της ιδιωτικής τους ζωής και των δικαιωμάτων τους.

Από την άλλη πλευρά, τα παιδιά θα πρέπει να ενημερωθούν και να κατανοήσουν τις τακτικές και παραπλανητικές μορφές του ψηφιακού μάρκετινγκ, ούτως ώστε να αναπτύξουν κριτική σκέψη και να προστατεύσουν τα δικαιώματά τους ως καταναλωτές.

Η αναγνώριση των παιδιών ως υποκειμένων ψηφιακών δικαιωμάτων καθορίζει σημαντικά την αναγνώριση και προστασία των δικαιωμάτων τους ως ψηφιακών εργαζομένων, ψηφιακών πολιτών, ψηφιακών μαθητών, ψηφιακών καταναλωτών, ψηφιακών ασθενών, ψηφιακών εναγόντων ή κατηγορουμένων.

Η ρύθμιση ενός κατάλληλου νομικού πλαισίου για τα ψηφιακά δικαιώματα των παιδιών είναι απαραίτητη για την ολιστική και ουσιαστική προστασία των δικαιωμάτων των παιδιών.

Ενημερωθείτε για τις δράσεις της Homo Digitalis στα σχολεία της Ευαγγελικής Σχολής Νέας Σμύρνης εδώ και στην Ελληνογαλλική Σχολή Πειραιά “Saint Paul”εδώ.

[1]  Να σημειωθεί ότι ακόμη δεν έχει τεθεί προς ψήφιση το νομοσχέδιο εφαρμογής του Κανονισμού στην εθνική μας έννομη τάξη.

*Η Αναστασία Καραγιάννη είναι νομικός με εξειδίκευση στα ψηφιακά δικαιώματα των παιδιών. Είναι μέλος της Homo Digitalis και συνδημιουργός της ChildAct, η οποία έχει ως σκοπό την προστασία των ψηφιακών δικαιωμάτων των παιδιών. Στις 8 Νοεμβρίου 2018 εκπροσώπησε τη Homo Digitalis στη συνεδρίαση με θέμα ‘Facebook και άλλοι κοινωνικοί κίνδυνοι’, που έλαβε χώρα στο Ευρωπαϊκό Κοινοβούλιο.

Γράφει ο Κωνσταντίνος Κακαβούλης

Στο τέλος Μαΐου, η Βελγική Αρχή Προστασίας Προσωπικών Δεδομένων (“L’Autorité de protection des données -APD”) επέβαλε για πρώτη φορά πρόστιμο για παραβίαση των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (“GDPR”).

Πιθανότατα ήδη βαρεθήκατε και θέλετε να σταματήσετε να διαβάζετε αυτό το άρθρο. Αν ακούσετε και το ποσό του προστίμου, μάλλον θα σταματήσετε άμεσα: μόλις 2.000 ευρώ.

Και όμως, αυτή η απόφαση είναι πολύ ενδιαφέρουσα. Και αυτό γιατί η Βελγική Αρχή Προστασίας Προσωπικών Δεδομένων επέβαλε το πρόστιμο αυτό σε ένα δήμαρχο!

Ο δήμαρχος αυτός είχε στείλει 2 emails σε δύο κατοίκους της πόλης του σχετικά με την προεκλογική του εκστρατεία. Οι δύο πολίτες είχαν στείλει πρώτοι email στο δήμαρχο, στα οποία του ανέλυαν την ιδέα τους για ένα project στην πόλη τους. Ο δήμαρχος την ημέρα πριν τις τοπικές εκλογές απάντησε στα emails των δύο πολιτών στέλνοντάς τους το πολιτικό του πρόγραμμα.

Η Βελγική Αρχή έκρινε ότι η χρήση των διευθύνσεων emails των δύο πολιτών ήταν καταχρηστική και επέβαλε πρόστιμο.

«Οι δημόσιοι λειτουργοί είναι οι πρώτοι οι οποίοι πρέπει να συμμορφώνονται με το νόμο. Ένας δήμαρχος αναμένεται και οφείλει να γνωρίζει τη νομοθεσία και να συμμορφώνεται με αυτήν.»

Όπως σημείωσε ο Hielke Hijmans, πρόεδρος της Βελγικής Αρχής:«η χρήση προσωπικών δεδομένων από πολιτικούς για εκλογικούς σκοπούς είναι ένα σημαντικό θέμα για τους πολίτες. Οι δημόσιοι λειτουργοί είναι οι πρώτοι οι οποίοι πρέπει να συμμορφώνονται με το νόμο. Ένας δήμαρχος αναμένεται και οφείλει να γνωρίζει τη νομοθεσία και να συμμορφώνεται με αυτήν.»

Τα δεδομένα προσωπικού χαρακτήρα «συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς» (άρθρο 5(β) GDPR).

Στη συγκεκριμένη περίπτωση, ο δήμαρχος είχε λάβει τις διευθύνσεις email των δύο πολιτών για ένα πολύ συγκεκριμένο σκοπό. Επέλεξε όμως να τις χρησιμοποιήσει για έναν εντελώς διαφορετικό σκοπό. Η συμπεριφορά του αυτή αποτελεί παραβίαση του GDPR. Μάλιστα, είναι ιδιαίτερα ενδιαφέρον το γεγονός οτι η Βελγική Αρχή εστίασε τη προσοχή της στις διατάξεις του GDPR και όχι στη εθνική νομοθεσία σχετικά με τις ηλεκτρονικές επικοινωνίες.

Τι μας έδειξε λοιπόν η Bελγική Αρχή με την απόφαση αυτή;

Ότι η προστασία προσωπικών δεδομένων είναι ευθύνη όλων!

Η υποχρέωση προστασίας και ορθής επεξεργασίας προσωπικών δεδομένων δε βαρύνει μόνο τις εταιρείες και τους οργανισμούς. Οι δημόσιοι λειτουργοί και οι έχοντες δημόσια αξιώματα υπέχουν επίσης σημαντικότατη ευθύνη. Οφείλουν να συνειδητοποιήσουν ότι προσωπικά δεδομένα τα οποία έχουν συλλέξει κατά την άσκηση δημόσιας εξουσίας, δεν μπορούν σε καμία περίπτωση να χρησιμοποιηθούν για προσωπικό όφελος.

Σαφώς, γνωρίζαμε ήδη από το πεδίο εφαρμογής του GDPR ότι και οι δημόσιοι λειτουργοί οφείλουν να συμμορφώνονται με τον Κανονισμό. Όμως, είναι η πρώτη φορά που μία εθνική Αρχή το εφαρμόζει στην πράξη.

Καθώς οι εθνικές εκλογές πλησιάζουν στη χώρα μας και έχοντας ακόμα νωπές μνήμες από προεκλογικά μηνύματα υποψηφίων στις αυτοδιοικητικές εκλογές και τις Ευρωεκλογές, αναμένουμε να δούμε αν οι υποψήφιοι αυτή τη φορά θα λάβουν υπόψη τα προσωπικά δεδομένα των πολιτών ως ένα αγαθό άξιο προστασίας.

Σε κάθε περίπτωση, αν νιώθετε ότι τα προσωπικά σας δεδομένα παραβιάζονται από υποψηφίους στις επικείμενες εκλογές, μπορείτε να υποβάλετε άμεσα και δωρεάν καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Μάλιστα, η Ελληνική Αρχή πρόσφατα δημοσίευσε την απόφασή της για μία παρόμοια σχετικά υπόθεση, με την οποία υποβάλει το πρόστιμο των 2.000 ευρώ σε έναν υποψήφιο ευρωβουλευτή.

Γράφει ο Κωνσταντίνος Ζουμπουλάκης*

Η χρήση ψηφιακών μέσων επικοινωνίας είναι πλέον καθολική. Πράγματι, ποιος δεν απολαμβάνει την ευκολία της αποστολής ενός e-mail ή μιας γρήγορης συνομιλίας στα μέσα κοινωνικής δικτύωσης;

Ωστόσο, η διάδοση των ηλεκτρονικών επικοινωνιών διευκολύνει και δραστηριότητες που ξεπερνούν τα όρια μιας καθημερινής συνομιλίας και γίνεται εργαλείο στην διάπραξη αξιόποινων πράξεων. Συγκεκριμένα, η ψηφιοποίηση της επικοινωνίας και των συναλλαγών ωφελεί αναπόφευκτα την εγκληματική δραστηριότητα˙ όχι μόνο σε επίπεδο ηλεκτρονικού εγκλήματος, αλλά και σε ένα πρακτικότερο πλαίσιο, όπως αυτό της επικοινωνίας μεταξύ των δραστών για τον σχεδιασμό και την υλοποίηση μιας εγκληματικής ενέργειας.

Πώς μπορεί αυτή η πραγματικότητα να επηρεάσει τα ψηφιακά δικαιώματα και την προστασία των προσωπικών μας δεδομένων;

Η απάντηση έρχεται μέσω της πρότασης της Ευρωπαϊκής Επιτροπής για την υιοθέτηση του Κανονισμού σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις.

Συγκεκριμένα, ο Ευρωπαίος νομοθέτης έκρινε απαραίτητη την θεσμοθέτηση ενός κοινού Ευρωπαϊκού πλαισίου για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία (e-evidence), με σκοπό την αποτελεσματικότερη καταπολέμηση του εγκλήματος. Το ενδιαφέρον του νομοθέτη φαντάζει αναμενόμενο, αν αναλογιστεί κανείς πως το 85% των ποινικών ερευνών περιλαμβάνει πλέον την χρήση ψηφιακών δεδομένων.

Σε αυτό το πλαίσιο, ο αριθμός των αιτημάτων προς τους μεγαλύτερους παρόχους (Google, Facebook, Twitter, Microsoft, Apple) για πρόσβαση των αρχών σε αποθηκευμένα ψηφιακά δεδομένα αυξήθηκε κατά 84% την πενταετία 2013-2018.

Η ανάγκη για διασυνοριακή πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία αφορά πλέον οποιοδήποτε αδίκημα και δεν περιορίζεται στο κυβερνοέγκλημα ή τα συνήθη διακρατικά εγκλήματα, διευρύνοντας έτσι σημαντικά το πεδίο εφαρμογής του προτεινόμενου Κανονισμού. Η πρόταση της Ευρωπαϊκής Επιτροπής στοχεύει στο να διευκολύνει και να επιταχύνει την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία, μειώνοντας σημαντικά τον κίνδυνο διαγραφής τους από τους παρόχους.

Είναι σαφές πως η  κυριαρχία της ψηφιακής επικοινωνίας καθιστά την πρόσβαση στα ψηφιακά δεδομένα αναγκαία για την αποτελεσματικότερη καταπολέμηση του εγκληματος.

Είναι ωστόσο η παραδοχή αυτή αρκετή για να άρει κάθε προβληματισμό σχετικά με την προστασία των προσωπικών δεδομένων;

Το πρόβλημα και η πρόταση της Ευρωπαϊκής Επιτροπής

Η πρόσβαση των αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία αποτελεί ένα περίπλοκο και χρονοβόρο ζήτημα, ιδίως λόγω της διαφορετικής νομοθεσίας που ισχύει στα κράτη μέλη της Ευρωπαϊκής Ένωσης, αλλά και του τόπου όπου τα δεδομένα είναι αποθηκευμένα.

H αποθήκευση των ψηφιακών δεδομένων γίνεται στους servers του εκάστοτε παρόχου ηλεκτρονικων υπηρεσιών, με αποτέλεσμα τα δεδομένα ενός χρήστη να βρίσκονται διάσπαρτα σε διαφορετικές τοποθεσίες και η πρόσβαση σε αυτά να διέπεται από την εκάστοτε ισχύουσα εθνική νομοθεσία.

Γίνεται συνεπώς αντιληπτό πως ο τοπικός κατακερματισμός των δεδομένων ενος χρήστη και το διαφορετικό νομοθετικό πλαίσιο που ισχύει ανά τα κράτη δυσχεραίνει την πρόσβαση των αρχών και επιβραδύνει σημαντικά την διαδικασία.

Για παράδειγμα, προκειμένου μία δικαστής να αποκτήσει πρόσβαση στα δεδομένα της συνομιλίας μεταξύ δύο Ελλήνων στο WhatsApp, πρέπει να απευθύνει σχετικό αίτημα στις αρχές της χώρας που βρίσκονται εγκατεστημένοι οι servers και είναι αποθηκευμένα τα δεδομένα, καθιστώντας έτσι την όλη διαδικασία χρονοβόρα.

Μάλιστα, μολονότι η Ευρωπαϊκή Ένωση έχει ήδη υιοθετήσει την Οδηγία 2014/41/ΕΕ περί της ευρωπαϊκής εντολής έρευνας σε ποινικές υποθέσεις, κρίθηκε πως αυτή δεν επαρκεί για την αποτελεσματική και γρήγορη πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία. Τα παραδοσιακά μέσα συνεργασίας που έχει θεσπίσει η Ένωση δεν ανταποκρίνονται στον ιδιαίτερο χαρακτήρα των ψηφιακών δεδομένων, ο οποίος επιτάσει ταχύτερες διαδικασίες που θα εξασφαλίζουν την έγκαιρη πρόσβαση των αρχών.

Τί ακριβώς είναι όμως τα ηλεκτρονικά αποδεικτικά στοιχεία και γιατί μας αφορούν;

Εν συντομία, κάθε μορφής ψηφιακά δεδομένα που μπορούν να χρησιμοποιηθούν για την έρευνα και δίωξη ενός εγκλήματος θεωρούνται ηλεκτρονικά αποδεικτικά στοιχεία. Ένα e-mail, κάποιο μήνυμα στο WhatsApp, το πότε ήσασταν τελευταία φορά διαθέσιμη στο Messenger, όλα αυτά μπορούν να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για την καταπολέμηση του εγκλήματος.

Σύμφωνα με το άρθρο 2 του Κανονισμού, ως ηλεκτρονικά αποδεικτικά στοιχεία ορίζονται τα δεδομένα συνδρομητή, τα δεδομένα πρόσβασης, τα δεδομένα συναλλαγών και τα δεδομένων περιεχομένου που ειναι αποθηκευμένα σε ηλεκτρονική μορφή από πάροχο ηλεκτρονικών υπηρεσιών ή για λογαριασμό του.

– Δεδομένα συνδρομητή: Πληροφορίες που αφορούν την ταυτότητα του συνδρομητή (ονοματεπώνυμο, ημερομηνία γέννησης, διεύθυνση, τηλέφωνο, κλπ.), καθώς και το είδος και τη διάρκεια της χρησιμοποιούμενης υπηρεσίας.

– Δεδομένα πρόσβασης: Πληροφορίες που αφορούν την έναρξη και λήξη της περιόδου πρόσβασης ενός χρήστη σε μια υπηρεσία (ημερομηνία και ώρα χρήσης, διεύθυνση IP, κλπ.).

– Δεδομένα συναλλαγών: Πληροφορίες που αφορούν την χρήση μιας υπηρεσίας από τον εκάστοτε συνδρομητή και επικεντρώνονται κυρίως στον εντοπισμό της πηγής και του προορισμού ενός μηνύματος, την ανίχνευση της τοποθεσίας της συσκευής, καθώς και τον ακριβή προσδιορισμό της ημερομηνίας, ώρας και διάρκειας μιας επικοινωνίας.

– Δεδομένα περιεχομένου: Περιλαμβάνουν οποιαδήποτε πληροφορία μοιραζόμαστε στον ψηφιακό κόσμο και αποθηκεύεται σε ψηφιακή μορφή, όπως κείμενο, φωνή, βίντεο, εικόνες και ήχος.

Γίνεται συνεπώς αντιληπτό πως οι τέσσερις αυτές κατηγορίες δεδομένων περιλαμβάνουν το σύνολο των πληροφοριών που μοιραζόμαστε στο διαδίκτυο, ξεκινώντας από τα στοιχεία που αφορούν την ταυτότητα του χρήστη και φτάνοντας μέχρι το διαμοιραζόμενο περιεχόμενο καθαυτό (content και non-content data).

Με άλλα λόγια, το πότε συνδεθήκατε τελευταία φορά σε κάποια μέσο κοινωνικής δικτύωσης, πόσες φορές μιλήσατε με κάποιον και για πόση ώρα, αλλά και το ακριβές περιεχόμενο των μηνυμάτων που ανταλλάξατε, όλα αυτά αποτελούν νόμιμα αποδεικτικά στοιχεία και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση κάποιου προσώπου ή για την περαιτέρω διερεύνηση μιας ποινικής υπόθεσης.

Σύμφωνα με το προτεινόμενο νομοθετικό πλαίσιο, οι αρχές ενός κράτους (κράτος έκδοσης) μπορούν να διατάξουν απευθείας έναν πάροχο υπηρεσιών να υποβάλει ή να διατηρήσει τα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα στους servers του.

Μάλιστα, δεν απαιτείται οι servers να βρίσκονται εντός της Ε.Ε. ή να εχει ο πάροχος την έδρα του σε ευρωπαϊκό έδαφος, παρά αρκεί να προσφέρει τις υπηρεσίες του στην Ένωση. Για τον σκοπό αυτό, το κράτος έκδοσης δύναται να εκδίδει την Ευρωπαϊκή Εντολή Υποβολής Στοιχείων (ΕΕΥ), η οποία είναι δεσμευτική απόφαση και υποχρεώνει τον πάροχο να υποβάλει τα ηλεκτρονικά αποδεικτικά στοιχεία που έχει στη διάθεσή του, ή την Ευρωπαϊκή Εντολή Διατήρησης Στοιχείων (ΕΕΔ), η οποία είναι επίσης δεσμευτική απόφαση και υποχρεώνει τον πάροχο να διατηρήσει και μην διαγράψει τα αποθηκευμένα δεδομένα, ενόψει μελλοντικού αιτήματος υποβολής τους.

Οι αρχές του κράτους έκδοσης, του κράτους δηλαδή που εκδίδει τις εντολές υποβολής ή διατήρησης των δεδομένων, θα μπορούν πλέον να αποκτήσουν πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα οπουδήποτε στην Ε.Ε, υποβάλλοντας το αίτημά τους απευθείας στον πάροχο και όχι στις αντίστοιχες αρχές του κράτους όπου είναι εγκατεστημένοι οι servers (κράτος εκτέλεσης).

Ως εκ τούτου, παρακάμπτεται η τοπική νομοθεσία που ισχύει στο κράτος εκτέλεσης και υπόλογος για την υποβολή ή διατήρηση των δεδομένων γίνεται πλέον ο εκάστοτε πάροχος.

Η τοποθεσία που βρίσκονται αποθηκευμένα τα ψηφιακά δεδομένα και το δίκαιο του κράτους που φιλοξενεί τους servers καθίστανται πλέον αδιάφορα και δεν μπορούν να αποτελέσουν ανάχωμα στην πρόσβαση των αρχών.

Πηγή: http://europa.eu/rapid/press-release_MEMO-18-3345_en.htm

Ο πάροχος ηλεκτρονικών υπηρεσιών οφείλει να εξασφαλίσει την προσβαση στα ψηφιακά δεδομένα εντός δέκα ημερών, ή ακόμα και έξι ωρών εφόσον πρόκειται για επείγον αίτημα. Το δικαίωμα του εκάστοτε παρόχου να αρνηθεί την υποβολή των δεδομένων είναι εξαιρετικά περιορισμένο και αφορά περιπτώσεις όπου η εντολή υποβολής είναι ελλιπής, έχει πρόδηλα σφάλματα ή συντρέχουν λόγοι ανωτέρας βίας.

Στην περίπτωση που ο εκάστοτε πάροχος κρίνει πως μια ΕΕΥ παραβιάζει προδήλως τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε. ή είναι καταχρηστική, τότε οφείλει να απευθυνθεί στις αρμοδιες αρχές του κράτους εκτέλεσης.

Υπό το νέο αυτό καθεστώς, η διαδικασία για την υποβολή και διατήρηση των ψηφιακών δεδομένων τυποποιείται και επιταχύνεται σημαντικά. Ο προστατευτικός ρόλος του κράτους όπου βρίσκονται αποθηκευμένα τα δεδομένα περιορίζεται και η εγχώρια νομοθεσία καθίσταται σε μεγάλο βαθμό αδιάφορη.

Ταυτόχρονα, οι κρίσιμες αποφάσεις για την υποβολή των δεδομένων και η υποχρέωση συμμόρφωσης μετακυλύονται από τις αρχές του κράτους εκτέλεσης προς τον εκάστοτε πάροχο. Μάλιστα, η δέσμη των προτεινόμενων μέτρων για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία συμπληρώνεται από την πρόταση σχετικής Οδηγίας που υποχρεώνει τους παρόχους να ορίσουν νόμιμους εκπροσώπους, οι οποίοι και θα είναι υπεύθυνοι για την παραλαβή, συμμόρφωση και εκτελεση των ΕΕΥ και ΕΕΔ.

Και η προστασία των προσωπικών δεδομένων;

Η πρόταση τη Ευρωπαϊκής Επιτροπής εγείρει πολλά ερωτήματα, ιδίως σε ό,τι αφορά την προστασία των προσωπικών δεδομένων. Πράγματι, σχετικοί προβληματισμοί έχουν επισημανθεί τόσο από το Ευρωπαϊκό Κοινοβούλιο κατά τη διάρκεια των διαπραγματεύσεων, όσο και από ακαδημαϊκούς και οργανώσεις της κοινωνίας των πολιτών που εγείρουν εύλογες ενστάσεις έναντι της υιοθέτησης του κανονισμού από την Ε.Ε..

Ένα από τα πλέον καίρια σημεία κριτικής εντοπίζεται στο γεγονός πως η υποχρέωση συμμόρφωσης και εκτέλεσης μιας ΕΕΥ ή ΕΕΔ είναι πλέον αρμοδιότητα του παρόχου των ηλεκτρονικών υπηρεσιών και όχι των κρατικών ή δικαστικών αρχών.

Μάλιστα, ο πάροχος γίνεται πλέον υπεύθυνος για τον έλεγχο της προστασίας των θεμελιωδών δικαιωμάτων και καλείται να κρίνει εάν και  κατά πόσο μια ΕΕΥ ή ΕΕΔ παραβιάζει τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.

Γεννάται συνεπώς το ερώτημα κατά πόσο ο ιδιώτης πάροχος είναι κατάλληλος να αποφασίζει για την προστασία των θεμελιωδών δικαιωμάτων. Σε συνδυασμό μάλιστα με το γεγονός πως ο πάροχος υπόκειται σε κυρώσεις σε περίπτωση μη συμμόρφωσης με μία ΕΕΥ ή ΕΕΔ, είναι άξιο απορίας το εάν πράγματι θα πραγματοποιεί τον απαιτούμενο έλεγχο και θα μεριμνά για την προστασία των δικαιωμάτων ή υπό των φοβο της μη συμμόρφωσης θα προχωρά εν τέλει στην εκτέλεση κάθε ΕΕΥ.

Συνεπώς, το σημαντικότερο πρόβλημα που δημιουργείται με το νέο θεσμικό πλαίσιο είναι η μετατόπιση της υποχρέωσης ελέγχου της προστασίας των προσωπικών δεδομένων από το κράτος στον ιδιώτη πάροχο, ο οποίος επιφορτίζεται με την κρίσιμη απόφαση υποβολής ή μη των αποθηκευμένων δεδομένων, περιορίζοντας έτσι σημαντικά τον προστατευτικό ρόλο του κράτους.

Ταυτόχρονα, η πράξη για την οποία ζητείται η υποβολή των προσωπικών δεδομένων δεν απαιτείται να ενέχει την ίδια απαξία στην έννομη τάξη του κράτους έκδοσης και του κράτους εκτέλεσης. Η κατάργηση του κριτηρίου αυτού (dual criminality) μειώνει το επίπεδο προστασίας των προσωπικών δεδομένων και διευκολύνει την πρόσβαση ακόμη και σε περιπτώσεις που αφορούν ήσσονος σημασίας αδικήματα.

Το μοναδικό όριο που θέτει ο Κανονισμός αφορά την πρόσβαση σε δεδομένα συναλλαγών και περιεχομένου, όπου μια ΕΕΥ μπορεί να εκδοθεί μόνο για αδικήματα που επισύρουν στερητική της ελευθερίας ποινή με ανώτατο όριο τουλάχιστον τριών ετών στο κράτος έκδοσης.

Σε κάθε άλλη περίπτωση, ακόμη και αν οι νόμοι του κράτους εκτέλεσης προβλέπουν ένα αυξημένο πλαίσιο προστασίας των προσωπικών δεδομένων, αυτό είναι πλέον αδιάφορο. Παράλληλα, η υποβολή των δεδομένων συνδρομητή και προσβασης μπορεί να διαταχθεί για οποιοδήποτε αδίκημα.

Η σημασία των ηλεκτρονικών αποδεικτικών στοιχείων για την αποτελεσματική καταπολέμηση του εγκλήματος είναι αδιαμφισβήτητη. Στην εποχή των μέσων κοινωνικής δικτύωσης, ο όγκος και η ιδιαίτερη φύση των ψηφιακών δεδομένων καθιστούν πράγματι αναγκαία την θέσπιση νέων εργαλείων για την έγκαιρη και αποτελεσματική πρόσβαση των αρχών στα ψηφιακά δεδομένα.

Για να επιστρέψουμε ωστόσο και στο αρχικό μας ερώτημα, η παραδοχή αυτή δεν αρκεί για να άρει τους όποιους ενδοιασμούς εγείρει η νομοθετική πρόταση της Ευρωπαϊκής Ένωσης. Η ανάγκη για αποτελεσματικότητα πρέπει να συμβαδίζει με το κρίσιμο αίτημα της αποτελεσματικής προστασίας των προσωπικών δεδομένων και είναι συνεπώς καθήκον του Ευρωπαίου νομοθέτη να κινηθεί προς τον σκοπό αυτό.

*Ο Κωνσταντίνος Ζουμπουλάκης είναι δικηγόρος και υποψήφιος διδάκτωρ Ευρωπαϊκού Ποινικού Δικαίου στο Πανεπιστήμιο του Leiden. Είναι απόφοιτος της Νομικής Σχολής Αθηνών, κάτοχος μεταπτυχιακού τίτλου σπουδών στη Φιλοσοφία Δικαίου από το Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών και στην Ποινική Δικαιοσύνη (Criminal Justice MSc) από το Πανεπιστήμιο του Leiden. Είναι τακτικό μέλος της Homo Digitalis.

Γράφει ο Μιχάλης Δρακουλάκης*

Η Homo Digitalis έχει ήδη εξηγήσει εκτενώς ότι το εργασιακό σου περιβάλλον είναι και προσωπική σου υπόθεση.

Αναμφίβολα, μία από τις πλέον καίριες μορφές παραβίασης των εργασιακών δικαιωμάτων είναι  η καταγραφή των εργαζομένων στον εργασιακό τους χώρο μέσω εικονοληπτικών μηχανών (καμερών παρακολούθησης-κυκλωμάτων βιντεοσκόπησης ή/και ηχογράφησης), φαινόμενο το οποίο ήδη έχει αρχίσει να λαμβάνει επικίνδυνα μεγάλες διαστάσεις στην εποχή μας, τόσο στην Ελλάδα όσο και σε άλλα ευρωπαϊκά κράτη.

Τα συστήματα αυτά παρακολούθησης σχεδόν πάντα τοποθετούνται από τον εργοδότη με το πρόσχημα της «ασφάλειας» που θέλει να πετύχει για τον εργασιακό του χώρο και των αντικειμένων που βρίσκονται εντός αυτού, αλλά πάρα πολύ συχνά στην πράξη χρησιμοποιούνται ως μέσο ελέγχου της εργατικότητας/αποδοτικότητας κάθε εργαζομένου.

Πέραν αυτών εξάλλου, απλά και μόνο η ύπαρξη τέτοιων συστημάτων καταγραφής εικόνων ή/και ήχου (με κάμερες ή μικρόφωνα) στο εργασιακό περιβάλλον δημιουργεί επιπλέον άγχος στον εργαζόμενο, ο οποίος υπό το φόβο πιθανών επιπτώσεων, ωθεί τον εαυτό του σε μια κατάσταση συνεχούς εργασιακής υπερπροσφοράς, γεγονός που επίσης οδηγεί τους εργοδότες στη θέληση να συνεχίζουν ή ακόμα και να επιτείνουν τέτοιες καταστάσεις, με συνεχώς νέα κρούσματα καθημερινά στην κοινωνία.

Ως εκ τούτου, θα πρέπει να καταστεί απόλυτα σαφές και με τον πλέον ξεκάθαρο και κατηγορηματικό τρόπο ότι η καταγραφή εικόνας και ήχου εργαζομένων στους χώρους εργασίας τους δεν επιτρέπεται, δεν είναι θεμιτή με τους εθνικούς και διεθνείς κανόνες δικαίου και δεν δικαιολογείται για κανένα απολύτως λόγο παρά μόνο για πολύ συγκεκριμένες και ειδικές εξαιρέσεις και δεν θα πρέπει να γίνεται ανεκτή από κανένα εργαζόμενο καθώς συνιστά κατάφωρη παραβίαση όχι μόνο των εργασιακών του δικαιωμάτων αλλά της ίδιας της αξιοπρέπειάς του!

Τέτοια φαινόμενα θα πρέπει να καταγγέλλονται άμεσα στις αρμόδιες Αρχές και ο κάθε εργαζόμενος θα πρέπει να είναι σε θέση είτε συλλογικά είτε ατομικά να διεκδικεί τα δικαιώματά του και να προφυλάσσει εργασιακά κεκτημένα χρόνων.

ΤΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ

Καταρχάς, η ανθρώπινη αξιοπρέπεια, η προστασία της προσωπικότητας του ατόμου, το δικαίωμα στην ιδιωτικότητα και το δικαίωμα στην εργασία προβλέπονται και προστατεύονται από το ίδιο το Σύνταγμα (άρθρα 2, 4, 9Α, 22 και 25 αντίστοιχα) αλλά και από την Ευρωπαϊκή Σύμβαση των Δικαιωμάτων των Ανθρώπων (ΕΣΔΑ, άρθρα 1, 8, 10 και 17) και τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (άρθρα 1, 7, 8 και 15).

Πέραν αυτών, μετά τις 25/05/2018, οι διατάξεις του Κανονισμού 679/2016 (GDPR) εφαρμόζονται και στη χώρα μας, ακόμα και αν δεν έχουμε (ακόμη) εφαρμοστικό νόμο. Ο Κανονισμός αυτός προβλέπει μια σειρά από διατάξεις σχετικά με την προστασία του ατόμου από την παράνομη επεξεργασία των προσωπικών του δεδομένων.

Κυριότερα σημεία του νόμου αυτού είναι ότι:

-Τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, ενώ η έκταση της συλλογής και επεξεργασίας τους περιορίζεται στο μέτρο που είναι αναγκαίο για να επιτευχθεί ο σκοπός για τον οποίο συλλέγονται (άρθρο 5). Δηλαδή, τα δεδομένα θα πρέπει να είναι μόνο τόσα όσα απαιτείται από το σκοπό για τον οποίο γίνεται η επεξεργασία (όπως πχ η ασφάλεια του χώρου εν προκειμένω) και για κανένα λόγο περισσότερα.

-Η επεξεργασία των προσωπικών δεδομένων ενός φυσικού προσώπου μπορεί να γίνεται με τη συγκατάθεσή του (άρθρο 6). Η συγκατάθεση ωστόσο για να είναι έγκυρη, πρέπει να είναι ελεύθερη (π.χ. όχι προϊόν φόβου ή απειλής), ειδική, και προϊόν πλήρους πληροφόρησης. Επομένως, γίνεται αντιληπτό ότι όταν υφίσταται σχέση εργοδότη/απασχολούμενου η εξασφάλιση έγκυρης συγκατάθεσης είναι δύσκολο να επιτευχθεί εξαιτίας της σχέσης εξάρτησης που υπάρχει. Στον κανονισμό αναφέρονται και άλλες 5 περιπτώσεις, όπου η συνδρομή έστω ενός εξ αυτών είναι αρκετή και ως εκ τούτου δεν απαιτείται η συγκατάθεση, ωστόσο είναι περιπτώσεις όπου η επεξεργασία είναι (απολύτως) απαραίτητη για λόγους: α) εκτέλεσης σύμβασης στην οποία το υποκείμενο επεξεργασίας (εδώ εργαζόμενος) είναι  συμβαλλόμενο μέρος, β) συμμόρφωσης με έννομη υποχρέωση του υπευθύνου επεξεργασίας (εδώ εργοδότης), γ) διαφύλαξης ζωτικού συμφέροντος υπευθύνου επεξεργασίας (ενν. εργοδότη), δ) εκτέλεσης υποχρέωσης για λόγους δημοσίου συμφέροντος,  ε) όταν η επεξεργασία γίνεται για σκοπούς εννόμων συμφερόντων του υπευθύνου επεξεργασίας, τα οποία υπερισχύουν του συμφέροντος ή των θεμελιωδών δικαιωμάτων και των ελευθεριών των υποκειμένων (εδώ εργαζομένων).

-Όποιος επεξεργάζεται/συλλέγει προσωπικά δεδομένα (εν προκειμένω ο εργοδότης) είναι υποχρεωμένος να ενημερώνει κάθε φορά το εκάστοτε φυσικό πρόσωπο σχετικά με το ποιά προσωπικά δεδομένα του επεξεργάζεται-συλλέγει, για ποιο σκοπό προβαίνει σε αυτή την επεξεργασία, ποιοι άλλοι έχουν πρόσβαση σε αυτά τα δεδομένα και για το δικαίωμα του φυσικού προσώπου να έχει και το ίδιο πρόσβαση επίσης στα προσωπικά του αυτά δεδομένα που είναι αντικείμενο επεξεργασίας και το αφορούν (άρθρο 12 και 13).

-Κάθε άτομο έχει δικαίωμα να εναντιωθεί/προβάλει αντιρρήσεις στην καταγραφή/επεξεργασία των προσωπικών του δεδομένων (δικαίωμα εναντίωσης) (άρθρο 21). Αυτό σημαίνει ότι το εκάστοτε άτομο/εργαζόμενος μπορεί να απαιτήσει να πάψει οποιαδήποτε καταγραφή, ηχογράφηση, βιντεοσκόπηση ή παρακολούθησή του στην οποία δεν συναινεί ή η οποία δεν είναι σύμφωνη με το νόμο. Ο εργοδότης θα πρέπει να σεβαστεί τις αντιρρήσεις αυτές και να σταματήσει την επεξεργασία ειδάλλως θα πρέπει να είναι σε θέση να καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων (ενν. του εργαζομένου).

-Τέλος προβλέπονται αυστηρότατες διοικητικές (άρθρο 83 Κανονισμού) και ποινικές κυρώσεις για τους παραβάτες των συγκεκριμένων διατάξεων καθώς και αστική ευθύνη για αποζημίωση των ατόμων που ζημιώθηκαν από αυτή την παράνομη συμπεριφορά (άρθρα 22 και 23 του Ν.2472/1997, τα οποία τυγχάνουν εφαρμογής μιας και, όπως αναφέρθηκε, δεν υπάρχει ακόμη εφαρμοστικός νόμος σχετικά με τον GDPR που να προβλέπει νέες ποινικές και αστικές κυρώσεις- βλ. και αρθρ. 82 Κανονισμού)

Επίσης, ως εποπτική Αρχή για την προστασία των ατόμων από την παράνομη επεξεργασία των προσωπικών τους δεδομένων έχει θεσπιστεί στην Ελλάδα εδώ και αρκετά χρόνια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με ευρύτατες αρμοδιότητες όπως την έκδοση οδηγιών-αποφάσεων για ειδικότερη ρύθμιση αυτών των ζητημάτων αλλά και την επιβολή προστίμων όπου κρίνεται ότι παραβιάζεται ο νόμος.

Ειδικά ως προς το θέμα της καταγραφής εικόνας ή/και ήχου σε χώρους εργασίας η Αρχή έχει εκδώσει τις οδηγίες 115/2001 και 1/2011. Από την παράθεσή τους προκύπτει ότι:

-Τα δεδομένα που συλλέγονται δεν επιτρέπεται να είναι περισσότερα από όσα είναι απολύτως αναγκαία για την εκπλήρωση του σκοπού της επεξεργασίας (όπως π.χ. η ασφάλεια του χώρου) και να μη θίγονται τα θεμελιώδη δικαιώματα των προσώπων που ευρίσκονται στο χώρο.

-Το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας. Αντίθετα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι (μάλιστα, ως ενδεικτικά παραδείγματα που θα δικαιολογούσαν εξαίρεση στον κανόνα αναφέρονται μόνο χώροι όπως στρατιωτικά εργοστάσια και εγκαταστάσεις υψηλού κινδύνου, ενώ ακόμη και σε χώρους με αντικείμενα μεγάλης αξίας όπως χρηματοκιβώτια, η κάμερα θα πρέπει να καταγράφει ΜΟΝΟ το προστατευόμενο αντικείμενο και ΟΧΙ τον εργαζόμενο).

-Είναι απαραίτητη η τοποθέτηση προειδοποιητικών πινακίδων που θα ενημερώνουν ότι ο χώρος καταγράφεται.

–Απαγορεύεται ρητώς οποιαδήποτε χρήση δεδομένων που έχουν συλλεγεί για τους παραπάνω σκοπούς ως κριτήριο για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων, καθώς ο διαρκής έλεγχος των χώρων εργασίας με μέσα παρακολούθησης προσβάλλει την αξιοπρέπεια και την ιδιωτικότητα των εργαζομένων.

-Οι εκπρόσωποι των εργαζομένων πρέπει να ενημερώνονται και να διατυπώνουν γνώμη πριν από την εισαγωγή μεθόδων ελέγχου και παρακολούθησης των εργαζομένων καθώς και για τους λόγους για τους οποίους αυτή κρίνεται αναγκαία.

Περιμένουμε με μεγάλο ενδιαφέρον την ψήφιση του  νέου Νόμου που πρόκειται να θεσπιστεί εντός των επόμενων μηνών σχετικά με τα προσωπικά δεδομένα και ο οποίος, εν τοις πράγμασι, θα ενσωματώνει τον Ευρωπαϊκό Κανονισμό 679/2016 (GDPR), για να δούμε πώς θα ρυθμίζει η Ελλάδα τις διατάξεις για τις οποίες έχει, βάσει του Κανονισμού, διακριτική ευχέρεια ως προς την επιλογή της διαμόρφωσης του περιεχομένου τους. Αξίζει επίσης να αναφερθεί ότι σε σχέση με το αντίστοιχο νομικό πλαίσιο που υπήρχε για το συγκεκριμένο ζήτημα στον προϋπάρχοντα Νόμο (Ν.2472/1997) ο Κανονισμός όχι μόνο δεν αίρει κάποιο από τα υπάρχοντα δικαιώματα αλλά αντίθετα μεγιστοποιεί ακόμα περισσότερο την προστασία των πολιτών από τέτοιου είδους ενέργειες παράνομης επεξεργασίας των δεδομένων τους.

ΠΕΡΙΠΤΩΣΕΙΣ ΠΟΥ ΕΧΟΥΝ ΑΝΤΙΜΕΤΩΠΙΣΤΕΙ ΑΠΟ ΤΗ ΔΙΚΑΙΟΣΥΝΗ ΩΣ ΤΩΡΑ – Η ΔΙΑΜΟΡΦΩΘΕΙΣΑ ΝΟΜΟΛΟΓΙΑ

Με δεδομένο ότι το θέμα της καταγραφής εικόνας ή/και ήχου εργαζομένων στους χώρους εργασίας δεν έχει ακόμη αντιμετωπιστεί από τα Ελληνικά Δικαστήρια (αν και ήδη αναμένεται η έκδοση σχετικών αποφάσεων από το Συμβούλιο της Επικρατείας), για τα φαινόμενα που έχουν προκύψει ως τώρα σχετικά με το ζήτημα μπορεί να γίνει έρευνα αφενός στις αποφάσεις της Αρχής (ΑΠΔΠΧ) και στα αντίστοιχα πρόστιμα που αυτή έχει επιβάλλει ως τώρα, αφετέρου στις αποφάσεις του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) σχετικά με το εν λόγω θέμα.

Πρέπει εδώ να γίνει μια σύντομη παράθεση για το εν λόγω Δικαστήριο και γιατί μας ενδιαφέρουν και μας επηρεάζουν οι αποφάσεις του. Συγκεκριμένα, το ΕΔΔΑ, εξετάζει προσφυγές σχετικές με τα Ανθρώπινα Δικαιώματα -όπως αυτά προβλέπονται και ορίζονται στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου- και το κατά πόσο τα δικαιώματα αυτά τηρούνται και προστατεύονται από τα Κράτη-μέλη.

Οι αποφάσεις του είναι μεν δεσμευτικές για τα εθνικά κράτη, όμως δεν υπάρχει μηχανισμός επιβολής τους. Η αρνητική ωστόσο δημοσιότητα που προκαλούν οι αποφάσεις του για κάθε Κράτος-μέλος κάθε φορά, καθώς και η βεβαιότητα ότι, αν δικαιώθηκε ένας προσφεύγων, θα δικαιωθούν και όλοι οι άλλοι που θα προσφύγουν στο μέλλον για το ίδιο θέμα, αρκούν συνήθως, ώστε το κράτος-μέλος να τροποποιήσει τη σχετική νομοθεσία ή την κρίση επί των ζητημάτων που άπτονται της ερμηνείας/εφαρμογής της νομοθεσίας αυτής και να παύσει την προσβολή. Επίσης, το ΕΔΔΑ έχει τη δυνατότητα να επιδικάσει χρηματική αποζημίωση στον πολίτη που προσέφυγε κατά του συγκεκριμένου κράτους-μέλους και δικαιώθηκε. Εξυπακούεται φυσικά ότι οι αποφάσεις του ΕΔΔΑ θα πρέπει να γίνονται σεβαστές καθώς και να τυγχάνουν εφαρμογής από όλα τα κράτη-μέλη).

Ως προς τις αποφάσεις της Αρχής, ιδιαίτερο ενδιαφέρον έχουν κυρίως οι (πρόσφατες) αποφάσεις 20/2017 και 41/2018. Και στις δύο περιπτώσεις, η Αρχή, μετά από καταγγελία εργαζομένων επέβαλλε πρόστιμα αξίας 10.000€ και 50.000€ σε μια εταιρεία μελετών και μια δικηγορική εταιρεία αντίστοιχα.

Κοινό χαρακτηριστικό και στις δύο περιπτώσεις ήταν ότι αμφότερες οι εταιρείες είχαν:

α) εγκαταστήσει κάμερες εντός των χώρων που βρίσκονταν τα γραφεία των εργαζομένων και

β) ότι χρησιμοποίησαν το υλικό αυτό για να καταγράφουν (μεταξύ άλλων) και το πόσο αποδοτικοί ήταν οι εργαζόμενοι.

Μάλιστα, και οι δύο εταιρείες προέβαλαν ως επιχείρημα ότι αναγκάστηκαν να τοποθετήσουν το σύστημα παρακολούθησης επειδή είχαν στους χώρους εργασίας τους αντικείμενα μεγάλης αξίας, χωρίς ωστόσο να αλλάξουν τη γνώμη της Αρχής, η οποία αντέτεινε ότι η ασφάλεια και η φύλαξή τους θα μπορούσε να επιτευχθεί κάλλιστα με λιγότερο επαχθή για τους εργαζόμενους μέτρα όπως με τοποθέτηση  καμερών μόνο στην είσοδο/έξοδο του κτιρίου, χωρίς να είναι απαραίτητη η συνεχής παρακολούθηση των τελευταίων, η οποία και αποτελεί φυσικά ανεπίτρεπτη παραβίαση των δικαιωμάτων τους.

Αυτό που έχει όμως ακόμα μεγαλύτερο ενδιαφέρον είναι οι πρόσφατες αποφάσεις του Ευρωπαϊκού Δικαστηρίου (ΕΔΔΑ) γύρω από αυτό το θέμα και συγκεκριμένα οι αποφάσεις: Άντοβιτς και Μίρκοβιτς εναντίον Μαυροβουνίου (2017) και Λόπεζ Ριμπάλντα και λοιποί εναντίον Ισπανίας (2018) (Μέσα από το κείμενο των αποφάσεων αυτών, το Ευρωπαϊκό Δικαστήριο έκανε πλέον απόλυτα εμφανή και αδιαμφισβήτητο τον σεβασμό που πρέπει να επιδεικνύουν τόσο τα κράτη-μέλη όσο και οι ιδιώτες/εργοδότες στην ιδιωτικότητα κάθε πολίτη/εργαζομένου, και δη στους χώρους εργασίας.

Συγκεκριμένα, στην πρώτη απόφαση, το ΕΔΔΑ δικαίωσε δύο καθηγητές Πανεπιστημίου (Άντοβιτς και Μίρκοβιτς), οι οποίοι προσέφυγαν σε αυτό επειδή οι αρχές του Πανεπιστημίου στο οποίο εργάζονταν, είχαν εγκαταστήσει κάμερες εντός των αμφιθεάτρων, με το σκεπτικό ότι τα αμφιθέατρα είναι δημόσιοι χώροι και ότι έπρεπε να εποπτεύεται η ασφάλειά τους. Το Ευρωπαϊκό Δικαστήριο όμως επεσήμανε ότι άσχετα με το αν τα αμφιθέατρα ήταν δημόσιοι χώροι ή όχι, η διαρκής παρακολούθηση εργαζομένων κατά την άσκηση του επαγγέλματός τους συνιστά υπέρμετρη παραβίαση του δικαιώματος στην ιδιωτική ζωή και ως εκ τούτου δεν μπορεί να  γίνει επιτρεπτή.

Επίσης έντονο ενδιαφέρον έχει και η δεύτερη υπόθεση στην οποία κλήθηκε να απαντήσει το ΕΔΔΑ. Συγκεκριμένα, έγινε προσφυγή εργαζομένων οι οποίοι εργάζονταν ως ταμίες σε μεγάλη αλυσίδα σουπερμάρκετ της Ισπανίας και οι οποίοι υποστήριξαν, μεταξύ άλλων, ότι ο εργοδότης τους είχε εγκαταστήσει για λόγους ασφαλείας κάμερες για να εποπτεύει το ταμείο καθενός, με αποτέλεσμα να παρακολουθεί αναπόφευκτα και τους ίδιους κατά τις ώρες εργασίας τους  και μάλιστα χωρίς να τους έχει ενημερώσει πρώτα.

Το Ευρωπαϊκό Δικαστήριο επίσης απάντησε ότι και αυτό συνιστά υπέρμετρη προσβολή του δικαιώματός τους και ότι ακόμα κι αν ήθελε γίνει δεκτό το γεγονός ότι το ποσό στα ταμεία ήταν μεγάλης αξίας και χρειαζόταν συνεχή φύλαξη, ο εργοδότης όφειλε να βρει άλλα μέσα για να το επιτύχει και όχι φυσικά να βιντεοσκοπεί (έστω και παρεμπιπτόντως) τους εργαζόμενους.

Πρέπει ωστόσο να επισημανθεί ότι η συγκεκριμένη κρίση του ΕΔΔΑ δεν είναι ακόμη οριστική, καθώς εκκρεμεί η εκδίκασή της ενώπιον της Μείζονος Συνθέσεως του Δικαστηρίου (αντίστοιχα όπως στο εθνικό δικαστικό σύστημα τμήματα του Αρείου Πάγου παραπέμπουν υποθέσεις στην Ολομέλεια).

Τέλος, αξίζει επίσης να αναφερθούν και οι αποφάσεις Κόπλαντ εναντίον Μ.Βρετανίας (2007) και Μπαρμπουλέσκου εναντίον Ρουμανίας (2017) με τις οποίες το ΕΔΔΑ έκρινε ότι επίσης παραβιάζει το δικαίωμα στην ιδιωτική ζωή (πέρα από την βιντεοσκόπηση) και η παρακολούθηση από τον εργοδότη των e-mail, των τηλεφωνικών κλήσεων ή των ιστοσελίδων στις οποίες μπαίνουν οι εργαζόμενοι κατά τις ώρες εργασίας τους, δικαιώνοντας τους τελευταίους που προσέφυγαν σε αυτό. (βλ. και εδώ για εκτενέστερη ανάλυση όλων των ανωτέρω αποφάσεων).

ΠΟΡΙΣΜΑ – ΣΥΜΠΕΡΑΣΜΑΤΑ

Και ενώ λοιπόν από νομικής πλευράς είναι απόλυτα σαφές ότι η παρακολούθηση των εργαζομένων στους χώρους εργασίας τους αποτελεί (με ελάχιστες και πολύ ειδικές εξαιρέσεις) παράνομη πρακτική και μη θεμιτή με την έννομη τάξη, επισύροντας μάλιστα τόσο βαριές κυρώσεις, δημιουργείται εύλογα το ερώτημα για ποιόν λόγο συνεχίζει να υφίσταται ως φαινόμενο τόσο έντονα και συχνά στην κοινωνία.

Η απάντηση είναι φυσικά αφενός λόγω της άγνοιας που οι περισσότεροι εργαζόμενοι/εργοδότες έχουν γύρω από το θέμα, αφετέρου λόγω του δικαιολογημένου φόβου που επίσης υπάρχει στους περισσότερους εργαζόμενους, εξ αιτίας του κινδύνου να απολυθούν εάν αποφασίσουν να καταγγείλουν αυτά τα φαινόμενα.

Ως προς το δεύτερο ειδικά, αξίζει να επισημανθεί ότι η απόλυση (ή και οποιαδήποτε άλλη επιβαρυντική εργασιακή εξέλιξη εις βάρος του εργαζόμενου) που γίνεται για ένα τέτοιο λόγο (επειδή δηλαδή ο εργαζόμενος αποφάσισε να ασκήσει τα δικαιώματά του όπως αυτά αναλύθηκαν ανωτέρω) είναι απολύτως παράνομη και άρα άκυρη (ως καταχρηστική) με αποτέλεσμα ο εργαζόμενος να μπορεί να διεκδικήσει όλα τα δικαιώματα που του παρέχει ο νόμος σε αυτή την περίπτωση. Πέραν αυτού φυσικά, πρέπει να τονιστεί ότι και η συγκατάθεση του εργαζόμενου στην καταγραφή του υπό τον ανωτέρω φόβο, δεν μπορεί να θεωρηθεί έγκυρη.

Τέλος, δεν μπορεί φυσικά να μην σχολιαστεί και το γεγονός ότι αρκετοί εργοδότες τοποθετούν κάμερες, οι οποίες ωστόσο δεν καταγράφουν, αλλά απλώς έχουν τεθεί για να εκφοβίζουν τους εργαζόμενους, οι οποίοι και αγνοούν το κατά πόσο είναι λειτουργικές ή όχι. Και σε αυτή την περίπτωση, η πρακτική αυτή των εργοδοτών είναι απολύτως παράνομη και θα πρέπει να καταγγέλλεται από τους εργαζόμενους όπως ακριβώς και η κανονική βιντεοσκόπηση.

Η Homo Digitalis καταβάλει κάθε δυνατή προσπάθεια προκειμένου να ευαισθητοποιήσει και να ενημερώσει το κοινό σχετικά με τα δικαιώματα και τις υποχρεώσεις όλων γύρω από αυτό το καίριο θέμα, προκειμένου αφενός να γίνει ξεκάθαρο ότι αντίστοιχα φαινόμενα παρακολούθησης σε χώρους εργασίας δεν θα πρέπει να γίνονται ανεκτά από κανέναν και αφετέρου για να αυξηθούν οι σχετικοί έλεγχοι των εποπτικών αρχών πάνω σε εταιρίες και εργοδότες που παραβιάζουν τη νομοθεσία με ταυτόχρονη φυσικά μείωση οποιασδήποτε γραφειοκρατίας/βραδυπορίας του κρατικού μηχανισμού γύρω από την αντιμετώπισή τους.

ΤΙ ΜΠΟΡΕΙΤΕ ΝΑ ΚΑΝΕΤΕ ΕΑΝ ΥΠΑΡΧΕΙ ΠΑΡΑΝΟΜΗ ΚΑΤΑΓΡΑΦΗ ΕΙΚΟΝΑΣ Η’/ΚΑΙ ΗΧΟΥ ΣΤΟΝ ΧΩΡΟ ΕΡΓΑΣΙΑΣ ΣΑΣ

Ως προς τα διοικητικά πρόστιμα της Αρχής Π.Δ.Π.Χ.

Η προϋπόθεση που έχει θέσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προκειμένου να επιληφθεί ενός τέτοιου περιστατικού είναι να γίνει αρχικά μια επώνυμη καταγγελία στην ίδια την Αρχή προκειμένου να λάβει η τελευταία γνώση.

Για να ξεκινήσει η έρευνα, η Αρχή απαιτεί να έχει πρώτα κοινοποιηθεί εγγράφως στον εκάστοτε εργοδότη ένα κείμενο μέσα το οποίο θα πρέπει να εκτίθενται όλοι οι προβληματισμοί του εργαζόμενου σχετικά με την παρακολούθησή του εν ώρα εργασίας (ενδεικτικά θα μπορεί να ερωτάται: για ποιο λόγο κρίνεται απαραίτητη η παρακολούθηση, γιατί δεν προτιμούνται άλλα (ηπιότερα) μέσα, γιατί η καταγραφή δεν περιορίζεται στην είσοδο/έξοδο του κτηρίου, ποιοι ακριβώς χώροι βιντεοσκοπούνται, ποιες/πόσες ώρες γίνεται η καταγραφή, ποιος διαχειρίζεται τα δεδομένα που προκύπτουν από την παρακολούθηση, ποιος άλλος έχει πρόσβαση στα δεδομένα αυτά, για πόσο διατηρούνται αυτά τα δεδομένα, γιατί δεν ενημερώθηκαν οι εργαζόμενοι, δείγμα από την καταγραφή που έχει ήδη γίνει κτλ, καθώς και να δηλώνονται οι αιτιολογημένες αντιρρήσεις των εργαζομένων).

Δεν προσδιορίζεται ωστόσο η ακριβής μορφή του κειμένου, οπότε θα πρέπει να θεωρηθεί δόκιμη και η αποστολή του με email, ταχυδρομικώς, με SMS, ή και απλώς η παράδοση χειρογράφου. Καλό είναι όμως να κρατάτε πάντα αποδεικτικά/αντίγραφα σε περίπτωση που χρειαστούν.

Εφόσον ο εργοδότης δεν απαντήσει εντός 30 ημερών ή η απάντησή του δεν κρίνεται ικανοποιητική από τον εργαζόμενο, μπορεί εν συνεχεία να γίνει καταγγελία στην Αρχή. Φόρμες καταγγελίας μπορείτε να βρείτε έτοιμες στην ιστοσελίδα της Αρχής τις οποίες μπορείτε να καταθέσετε εν συνεχεία με όλους τους τρόπους, ταχυδρομικώς, ηλεκτρονικά ή αυτοπροσώπως στα γραφεία της Αρχής (Λ. Κηφισίας 1-3, 1ος όροφος).

Τέλος, εφόσον η Αρχή επιληφθεί της υποθέσεως και διαπιστώσει ότι υπάρχει παραβίαση της Νομοθεσίας, έχει την δυνατότητα να επιβάλλει πρόστιμο στον εργοδότη, με το ύψος αυτού να ποικίλει ανάλογα με το βαθμό της βαρύτητας της παράβασης, το δόλο ή την αμέλειά του, προηγούμενες παραβάσεις του, την πρόθεσή του να επανορθώσει κ.α.

Επίσης, επειδή οι καταγγελίες είναι πάντα επώνυμες, η ίδια η Αρχή στην επίσημη ιστοσελίδα ενημερώνει ότι υπάρχει η επιλογή, πέρα από τον ίδιο τον εργαζόμενο, η καταγγελία να γίνεται και από κάποιο συλλογικό όργανο (πχ εργατικά σωματεία, εθελοντικές οργανώσεις, μη-κερδοσκοπικές οργανώσεις κτλ) στο οποίο και θα αναθέσετε αυτή την ενέργεια.

Σημειώνεται ωστόσο ότι κατά την προσωπική και επιστημονική γνώμη του γράφοντος, ειδικά για την παρακολούθηση σε χώρους εργασίας, αφενός και δεν θα πρέπει να θεωρείται απαραίτητη η προηγούμενη ενημέρωση/αίτηση στον εργοδότη, καθώς τοποθετεί τον εργαζόμενο σε μια αρκετά δυσχερή θέση, αφετέρου ότι όπως η Επιθεώρηση Εργασίας, το ΣΔΟΕ και τα κλιμάκια του ΙΚΑ διενεργούν (περισσότερους) απροειδοποίητους τυχαίους ελέγχους σε χώρους εργασίας, την ίδια –αποτελεσματική- τακτική θα πρέπει να αρχίσει να ακολουθεί και η Αρχή Π.Δ.Π.Χ., εάν θέλουμε να εκλείψουν οριστικά τέτοια φαινόμενα.

Εξάλλου, όπως απαγορεύεται ρητά η ανασφάλιστη εργασία, ακόμα κι αν συναινεί σε αυτήν ο ίδιος ο εργαζόμενος, αντίστοιχα θα πρέπει να θεωρείται μη νόμιμη και η καταγραφή του εν ώρα εργασίας, ακόμη κι αν έχει συναινέσει σε αυτό, μιας και με αυτό τον τρόπο, αφενός προσβάλλεται ο ίδιος ο πυρήνας του δικαιώματος στην εργασία εν γένει και επομένως όχι μόνο το ιδιωτικό συμφέρον του συγκεκριμένου εργαζομένου που παρακολουθείται, καθώς τοποθετεί τον εργαζόμενο που θα εγείρει αντιρρήσεις στην παρακολούθηση σε σαφώς μειονεκτικότερη θέση από τους υπόλοιπους που σιωπούν, αφετέρου, δεν θα μπορεί σχεδόν ποτέ να διακριβωθεί με σιγουριά εάν η συναίνεση είναι πραγματική ή προϊόν απειλής ή ψυχολογικής πίεσης.

Αστική αποζημίωση

Σημειώνεται ότι τα πρόστιμα που μπορεί να επιβάλει η ΑΠΔΠΧ είναι διοικητικά κι ως εκ τούτου έχουν να κάνουν αποκλειστικά με τον εργοδότη και το Κράτος. Συνεπώς, εάν κάποιο φυσικό πρόσωπο/εργαζόμενος επιθυμεί να αποζημιωθεί θα πρέπει να καταφύγει στα Πολιτικά Δικαστήρια με αγωγή, με τη συνδρομή ωστόσο κάποιου συνηγόρου.

Επίσης, αξίζει να επισημανθεί ότι η αστική αποζημίωση σε αυτή την περίπτωση είναι ανεξάρτητη/αδιάφορη με το αν έχει ο εργαζόμενος απευθυνθεί στην ΑΠΔΠΧ ή όχι και μάλιστα ο Νόμος προστατεύει κάθε άτομο που υπέστη περιουσιακή ή ηθική βλάβη από παράνομη επεξεργασία των προσωπικών δεδομένων του (όπως εν προκειμένω τον εργαζόμενο), με ελάχιστο ποσό ως αποζημίωση τα 5.869,40€ (αρ.23 Ν.2472/1997 – βλ. 4196/11 ΠΠΑθ, 3428/16 ΜΠΑθ, 415/16 ΕιρΑθ). Ωστόσο, αναμφίβολα, μια πιθανή βεβαίωση της παράβασης και από την ΑΠΔΠΧ θα ενίσχυε έτι περαιτέρω τους ισχυρισμούς οποιουδήποτε εργαζομένου στην δίκη αποζημίωσης.

Ποινική Ευθύνη

Σε αρκετές περιπτώσεις ενδέχεται η παράνομη συμπεριφορά του εργοδότη να καταγράφει τους χώρους εργασίας να αποτελεί, πέραν των άλλων, και ποινικό αδίκημα. Σε αυτές τις περιπτώσεις ο εκάστοτε ζημιωθείς/εργαζόμενος έχει το δικαίωμα να υποβάλλει έγκληση στον αρμόδιο Εισαγγελέα με σκοπό την ποινική καταδίκη του υπευθύνου και φυσικά να λάβει και ο ίδιος ο εργαζόμενος κανονικά μέρος στη δίκη ως πολιτικώς ενάγων.

Πάντα ωστόσο σε αυτές τις περιπτώσεις, λόγω και των σοβαρότατων συνεπειών που επιφέρουν, κρίνεται καλύτερο πριν ο ζημιωθείς προβεί στην έγκληση, να αναζητεί τη βοήθεια/συνδρομή κάποιου εξειδικευμένου νομικού.

Για εκτενέστερη ενημέρωση και καθοδήγηση πάνω στο θέμα μπορείτε να απευθυνθείτε στη Homo Digitalis.

*Ο Μιχάλης Δρακουλάκης είναι δικηγόρος με ειδίκευση στο Δίκαιο των Προσωπικών Δεδομένων καθώς και στο Δίκαιο Νέων Τεχνολογιών και νέων μορφών συμβάσεων της σύγχρονης οικονομίας, ενώ έχει ευρύτερη ερευνητική και επαγγελματική ενασχόληση γενικότερα με το Αστικό, Εμπορικό και Εργατικό Δίκαιο.