Αποκεντρωμένη ψηφιακή ταυτοποίηση - Πόσο κοντά είμαστε στην νέα εποχή της ψηφιακής ταυτοποίησης και πως μπορεί να ενδυναμώσει τους πολίτες στον ψηφιακό κόσμο;
*Γράφει ο Ιωάννης Κροντήρης
Σχήμα 1 – Η γελοιογραφία του Peter Steiner – “On the Internet, nobody knows you’re a dog”
Από το 1993 που ο Peter Steiner δημοσίευσε αυτήν την γελοιογραφία μέχρι σήμερα, δεν έχουν αλλάξει πολλά ως προς τη διαχείριση της ψηφιακής μας ταυτότητας στο Διαδίκτυο. Ο καθένας μπορεί να είναι όποιος θέλει, και αυτό γιατί δεν υπάρχει ένας εύκολος τρόπος να πιστοποιήσει προσωπικά χαρακτηριστικά που τον αφορούν, όπως το ότι είναι ενήλικας, ή ότι μένει σε μια συγκεκριμένη διεύθυνση, ή ότι έχει πτυχίο από το συγκεκριμένο πανεπιστήμιο, κτλ. Μπορεί να ισχυρίζεται ό,τι θέλει χωρίς να υπάρχει κάποιος εύκολος τρόπος να το αποδείξει.
Στην πραγματική ζωή αυτό γίνεται φυσικά έχοντας διαπιστευτήρια στο πορτοφόλι μας για τα πάντα. Κάθε φορά που επιβιβαζομαστε σε αεροπλάνο, νοικιάζουμε αυτοκίνητο, κάνουμε κράτηση σε ξενοδοχείο ή δανειζόμαστε ένα βιβλίο από την βιβλιοθήκη, αποδεικνύουμε κάποιο χαρακτηριστικό σχετικά με εμάς απλά ανοίγοντας το πορτοφόλι μας και δείχνοντας ένα ή περισσότερα διαπιστευτήρια που περιέχουν αξιώσεις που έχουν εκδοθεί από μια αξιόπιστη αρχή (που ονομάζεται εκδοτική αρχή) σε άλλο άνθρωπο ή εταιρεία που πρέπει να εμπιστευτεί την αξίωση (ονομάζεται επαληθευτής).
Ωστόσο το Διαδίκτυο αναπτύχθηκε αρχικά στις δεκαετίες του 1960 και του 1970 για να συνδέει μηχανές και όχι ανθρώπους. Ο σχεδιασμός του που βασίζεται σε πακέτα και το πρωτόκολλο TCP/IP αποδείχτηκε αποτελεσματικός για να μπορούν μηχανές να συνδέονται μεταξύ τους και να ανταλλάσσουν δεδομένα. Μία διεύθυνση IP όμως δεν λέει τίποτα για το άτομο που κάθεται πίσω από έναν υπολογιστή. Έτσι λοιπόν, δημιουργήθηκε ένα κενό για την διαχείριση της ταυτότητας των ανθρώπων στο Διαδίκτυο, ώστε να ξέρουμε με ποιόν μιλάμε. Ως αποτέλεσμα, έχουμε (ως χρήστες) το βάρος του να δημιουργούμε έναν ξεχωριστό λογαριασμό σε κάθε ένα website και για κάθε μια υπηρεσία που θέλουμε να χρησιμοποιούμε και να διαχειριζόμαστε μόνοι μας εκατοντάδες λογαριασμούς και κωδικούς. Φυσικά το αποτέλεσμα είναι ότι ο χρήστης δεν μπορεί να το διαχειριστεί όλο αυτό σωστά και επαναχρησιμοποιεί τους ίδιους κωδικούς σε πολλαπλούς λογαριασμούς, με όλα τα προβλήματα ασφαλείας που ήδη γνωρίζουμε.
Σχήμα 2
Το πρόβλημα με αυτό το “παλαιολιθικό” μοντέλο δεν είναι μόνο τα προβλήματα ασφαλείας όμως. Στο Σχήμα 2 που δείχνει το κεντρικοποιημένο μοντέλο που μόλις αναφέραμε, από την οπτική ενός οργανισμού, ο χρήστης υπάρχει μόνο και μόνο επειδή έχει λογαριασμό στο σύστημά του. Δηλαδή ένας χρήστης έχει άδεια να συνδεθεί σε έναν ιστότοπο, μια υπηρεσία ή μια εφαρμογή επειδή ο παρέχοντας οργανισμός του “δανείζει” κάποια διαπιστευτήρια για να τον αντιπροσωπεύουν. Στο τέλος, αυτά τα διαπιστευτήρια ανήκουν και ελέγχονται από τον οργανισμό. Εάν ο χρήστης διαγράψει τον λογαριασμό του σε αυτόν τον οργανισμό, παύει να έχει δυνατότητα πρόσβασης στις αντίστοιχες υπηρεσίες, ωστόσο, όλα τα δεδομένα σχετικά με αυτόν τον χρήστη θα εξακολουθούν να υπάρχουν και να ανήκουν στον οργανισμό, έξω από κάθε έλεγχο από τον χρήστη στον οποίο ανήκουν.
Σχήμα 3
Η καλύτερη εναλλακτική που έχουμε αυτή τη στιγμή είναι να χρησιμοποιήσουμε κάποιον ενδιάμεσο, τον οποίο ονομάζουμε “πάροχο ταυτότητας” (βλ. Σχήμα 3). Σε αυτό το πλαίσιο αρκεί ο χρήστης να έχει μόνο ένα λογαριασμό σε αυτόν τον πάροχο και αυτός με τη σειρά του μπορεί να μας συνδέει με ιστότοπους και υπηρεσίες που συνεργάζονται μαζί του, αποκαλύπτοντας ορισμένα βασικά δεδομένα για μας. Για παράδειγμα, όλοι ξέρουμε τα κουμπιά που μας επιτρέπουν να κάνουμε login κάπου χωρίς να ανοίξουμε λογαριασμό αλλά χρησιμοποιώντας τον λογαριασμό μας στο Google, το Twitter, το LinkedIn κτλ. Αυτή η λύση φυσικά έχει πολλά προβλήματα όσο αφορά στη προστασία της ιδιωτικότητας, καθώς ο μεσάζοντας μπορεί τώρα να ακολουθεί όλες τις κινήσεις μας στο Διαδίκτυο και να βλέπει όλες τις υπηρεσίες που χρησιμοποιούμε. Με άλλα λόγια ο χρήστης καλείται να συμβιβαστεί ως προς την ιδιωτικότητά του με αντάλλαγμα μεγαλύτερη ευκολία. Γι’ αυτό και τελικά αυτά τα μοντέλα δεν κατάφεραν να υιοθετηθούν ευρέως από τους χρήστες.
Η λύση σε όλα αυτά τα προβλήματα είναι γνωστή εδώ και δεκαετίες: το μοντέλο του μεσάζοντα πρέπει να σπάσει και ο χρήστης πρέπει να μπεί στο κέντρο της εικόνας ώστε να έχει τον έλεγχο του ποιός λαμβάνει στοιχεία της ταυτότητας του στο Διαδίκτυο και ποιά (Ο Kim Cameron ήταν ένας από αυτούς που πρότειναν ήδη από το 2008 μια τέτοια αρχιτεκτονική). Επιπλέον, τεχνολογίες που δίνουν αυτόν τον έλεγχο στον χρήστη υπάρχουν ήδη με τη μορφή κρυπτογραφικών εργαλείων εδώ και χρόνια. Ίσως ένα από τα πιο γνωστά είναι τα Zero Knowledge Proofs (ZKP) που δίνουν τη δυνατότητα στο χρήστη να μην στέλνει καν στοιχεία της ταυτότητας του στον πάροχο μιας υπηρεσίας, αν αυτό δεν είναι εντελώς απαραίτητο, αλλά να στέλνουν μόνο κρυπτογραφικές αποδείξεις για κάποιες ιδιότητες που έχουν αυτά τα στοιχεία. Για παράδειγμα ότι κάποιος είναι ενήλικας, χωρίς να αποκαλύπτει την ακριβή ημερομηνία γέννησής του. Παράλληλα μία ειδική κατηγορία-τεχνολογία ανώνυμων ηλεκτρονικών διαπιστευτηρίων γνωστή ως Privacy-ABCs (Privacy- Attribute Based Credentials) άρχισε να χρησιμοποιεί τα ZKP και να θέτει τα θεμέλια για δημιουργία πρακτικών συστημάτων. Μετά το 2010 αυτές οι τεχνολογίες ήρθαν στο επίκεντρο μέσω μιας σειράς μεγάλων Ευρωπαϊκών ερευνητικών προγραμμάτων που πειραματίστηκαν με πραγματικούς χρήστες και συνέβαλαν στην περαιτέρω ωρίμανσή τους.
Ωστόσο, σε ένα αποκεντρωμένο μοντέλο παρέμενε ως πρόσφατα ανοιχτό το πρόβλημα της εμπιστοσύνης και αξιοπιστίας των συναλλαγών, καθώς δεν υπάρχει πλέον μια κεντρική αρχή που να είναι υπεύθυνη για την επικύρωσή τους. Και αυτό το κενό ήρθε να καλύψει η τεχνολογία blockchain που στην ουσία λειτουργεί ως ένα μητρώο δεδομένων και πληροφοριών (ledger) και μπορούμε να την εφαρμόσουμε για τις ανάγκες της ηλεκτρονικής ταυτοποίησης. Η θεμελιώδης διαφορά από τα υφιστάμενα μητρώα και βάσεις δεδομένων είναι ότι για την τήρησή του δεν είναι αρμόδια μία κεντρική αρχή, αλλά οι λεγόμενοι κόμβοι (nodes). Με την επίτευξη συμφωνίας (consensus) ανάμεσα στους κόμβους δημιουργείται εμπιστοσύνη για την ορθότητα των στοιχείων που καταχωρούνται στο μητρώο.
Αυτή η εξέλιξη μαζί με κάποια ακόμα κομμάτια του παζλ που ήρθαν να συμπληρωθούν κυρίως από πλευράς τυποποίησης από το World Wide Web Consortium (W3C), έδωσαν μια νέα ώθηση στο μοντέλο αποκεντρωμένης ψηφιακής ταυτότητας, στο οποίο αναφερόμαστε πλέον με τον όρο Self-Sovereign Identity (SSI). Ο όρος αποδίδεται στον Christopher Allen, ο οποίος περιέγραψε το όραμα και τις αρχές του SSI σε ένα άρθρο που δημοσίευσε το 2016. Παρόλο που όλοι συμφωνούν ότι θα πρέπει να βρεθεί ένας καλύτερος όρος, ως τώρα δεν έχει βρεθεί ποιός μπορεί να είναι αυτός. Γεγονός είναι πάντως πως μεγάλες εταιρείες τεχνολογίας, οργανισμοί τυποποίησης και κυβερνήσεις έχουν στρέψει την προσοχή τους σε αυτή την τεχνολογική εξέλιξη, η οποία καλπάζει πλέον με ταχύτατους ρυθμούς.
Ένα κεντρικό εργαλείο που επιτρέπει στους χρήστες να διαχειρίζονται οι ίδιοι την ψηφιακή τους ταυτότητα χωρίς να εξαρτώνται από έναν κεντρικό πάροχο υπηρεσιών ταυτότητας είναι το πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet) το οποίο είναι προσωπικό ψηφιακό πορτοφόλι που επιτρέπει στους πολίτες να ταυτοποιούνται, να αποθηκεύουν και να διαχειρίζονται δεδομένα ταυτότητας και επίσημα έγγραφα σε ηλεκτρονική μορφή. Το ψηφιακό πορτοφόλι σαν έννοια δεν είναι καινούργια, καθώς οι περισσότεροι έχουμε ήδη ψηφιακά πορτοφόλια στα κινητά τηλέφωνά μας για να αποθηκεύουμε τις κάρτες επιβίβασης όταν ταξιδεύουμε, το πιστοποιητικό COVID, ή για να φυλάσσουμε σε αυτά εικονικές τραπεζικές κάρτες ως βολικό μέσο πληρωμής. Το πορτοφόλι ψηφιακής ταυτότητας είναι κάτι αντίστοιχο, αλλά διαχειρίζεται διαπιστευτήρια που σχετίζονται με την ταυτότητά μας. Αυτό δεν σημαίνει ότι περιορίζεται μόνο στα προσωπικά δεδομένα ταυτότητας, με τη στενή έννοια του όρου (όπως δηλαδή στη ψηφιακή ταυτότητα eID), αλλά μπορεί επίσης να περιέχει και άλλα (επίσημα ή μη) διαπιστευτήρια σε ηλεκτρονική μορφή, όπως άδειες οδήγησης, ή τίτλοι σπουδών.
Κατά συνέπεια, το πορτοφόλι ψηφιακής ταυτότητας επιτρέπει στους πολίτες να αποδεικνύουν την ταυτότητά τους ή άλλα ψηφιακά διαπιστευτήρια με κινητά μέσα προκειμένου να έχουν πρόσβαση σε διαδικτυακές υπηρεσίες ή να ανταλλάσσουν ψηφιακά έγγραφα. Επίσης του επιτρέπει να αποδεικνύουν μόνο ένα συγκεκριμένο ιδιοχαρακτηριστικό που περιέχεται μέσα σε ένα διαπιστευτήριο, όπως, λόγου χάρη, η ημερομηνία γέννησης. Αυτό είναι δυνατό χωρίς να αποκαλύπτεται η ταυτότητά τους ή άλλα δεδομένα προσωπικού χαρακτήρα.
Κάτι αντίστοιχο φυσικά δεν είναι δυνατόν με μια υλική ταυτότητα: όταν την δείχνουμε σε κάποιον, αποκαλύπτουμε όλα τα ιδιοχαρακτηριστικά που περιέχει. Υπάρχει όμως ακόμα κάτι που είναι εξίσου σημαντικό από την πλευρά της προστασίας της ιδιωτικότητας: η οποιαδήποτε αρχή που έχει εκδώσει τα ψηφιακά διαπιστευτήρια σε ένα σύστημα SSI δεν είναι σε θέση να γνωρίζει για ποιό λόγο ή για ποιές υπηρεσίες τα χρησιμοποιεί ο κάτοχός τους.
Αυτή λοιπόν είναι η επανάσταση που φέρνει το SSI στο τομέα της ηλεκτρονικής ταυτοποίησης, και η τεχνολογία πίσως από αυτό ονομάζεται “επαληθεύσιμα διαπιστευτήρια” (verifiable credentials). Τα επαληθεύσιμα διαπιστευτήρια είναι ένα πρότυπο W3C για υπογεγραμμένα κοντέινερ δεδομένων ταυτότητας. Κάθε διαπιστευτήριο περιέχει ένα σύνολο ανεξάρτητων επαληθεύσημων προτάσεων (claims) σχετικά με τον κάτοχο του διαπιστευτηρίου. Αυτές οι προτάσεις διατυπώνονται από μία αρχή, η οποία στην SSI ονομάζεται εκδότης του διαπιστευτηρίου. Η οντότητα (πρόσωπο, οργανισμός ή πράγμα) στην οποία εκδίδεται το διαπιστευτήριο, δηλαδή αυτός που θα το κρατήσει στο ψηφιακό πορτοφόλι του, ονομάζεται κάτοχος του διαπιστευτηρίου. Οι προτάσεις σε ένα διαπιστευτήριο μπορούν να αναφέρουν δεδομένα σχετικά με τον κάτοχο, όπως χαρακτηριστικά (ηλικία, ύψος, βάρος, κ.λπ.), σχέσεις (μητέρα, πατέρας, εργοδότης, υπηκοότητα ή άλλα) ή δικαιώματα (ιατρικές παροχές, προνόμια βιβλιοθήκης, ιδιότητα μέλους ανταμοιβές, νόμιμα δικαιώματα και ούτω καθεξής).
Για να πληρούν τις προϋποθέσεις ενός διαπιστευτηρίου, οι προτάσεις πρέπει να είναι με κάποιο τρόπο επαληθεύσιμες. Αυτό σημαίνει ότι ένας επαληθευτής πρέπει να είναι σε θέση να προσδιορίσει τα ακόλουθα:
- Ποιος εξέδωσε το διαπιστευτήριο
- Ότι δεν έχει παραβιαστεί από τότε που εκδόθηκε
- Ότι δεν έχει λήξει ή δεν έχει ανακληθεί
Σχήμα 4
Όλα τα παραπάνω γίνονται εφικτά με το τελευταίο κομμάτι του παζλ, τα αποκεντρωμένα αναγνωριστικά (Decentralised Identifiers ‘DIDs’). Το DID είναι ένα μοναδικό αναγνωριστικό το οποίο δημιουργείται τυχαία από τη μεριά του χρήστη και είναι υπό τον πλήρη έλεγχό του. Όταν μια εκδούσα αρχή εκδίδει ένα επαληθεύσιμο διαπιστευτήριο σε ένα χρήστη, επισυνάπτει το δημόσιο DID του σε αυτό το διαπιστευτήριο. Το ίδιο δημόσιο DID αποθηκεύεται επίσης στο blockchain (βλ. Σχήμα 4). Όταν κάποιος θέλει να επαληθεύσει τη γνησιότητα/εγκυρότητα του διαπιστευτηρίου, μπορεί να το πετύχει ελέγχοντας το DID στο blockchain χωρίς να χρειάζεται να επικοινωνήσει με την αρχή που το εξέδωσε. Επίσης, δεν υπάρχει όριο στον αριθμό των DID που μπορούν να δημιουργηθούν, οπότε για κάθε επικοινωνία ή συναλλαγή στο Διαδίκτυο μπορεί κάποιος να δημιουργεί ένα καινούργιο DID και έτσι να αποτρέπει τη συσχέτιση των κινήσεών του και άρα την ιχνηλάτηση.
Σε αυτό το σημείο είναι σημαντικό να διευκρινίσουμε δύο σημεία που συνήθως παρερμηνεύονται απο πολλούς. Πρώτον, κανένα προσωπικό δεδομένο δεν αποθηκεύεται στο blockchain. Όλα τα προσωπικά δεδομένα παραμένουν στη συσκευή του χρήστη και υπό τον έλεγχό του. Αυτό που αποθηκεύεται στο blockchain είναι ο μοναδικός αριθμός DID που σχετίζεται με κάθε επαληθεύσιμο διαπιστευτήριο του χρήστη. Ο παραλήπτης ενός επαληθεύσιμου διαπιστευτηρίου θα χρησιμοποιούσε αυτόν τον αριθμό DID για να εντοπίσει το κλειδί επαλήθευσης του αποστολέα, έτσι ώστε να επικυρώσει και να αποκωδικοποιήσει τα δεδομένα στο διαπιστευτήριο. Άρα λοιπόν το blockchain χρησιμοποιείτε για την ανταλλαγή κρυπτογραφικών κλειδιών, ελλείψει μια κεντρικής αρχής που διαχειριζόταν αυτή τη πληροφορία ως τώρα. Ωστόσο, αυτά τα κλειδιά δεν θεωρούνται ανωνυμοποιημένα δεδομένα αλλά ψευδωνυμοποιημένα δεδομένα και άρα εμπίπτουν στο πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (GDPR). Επιπλέον, στη περίπτωση που δεν αλλάζει το DID για κάθε συναλλαγή αλλά παραμένει το ίδιο, δημιουργούνται κίνδυνοι συσχέτισης όπως αναφέρεται και στο πρότυπο (παρ. 10.2 και 10.3) που κάνουν την εφαρμογή του GDPR ιδιαίτερα περίπλοκο θέμα. Η έκθεση της Ευρωπαϊκής Επιτροπής για την προστασία δεδομένων στην υποδομή EBSI αναλύει το παραπάνω πρόβλημα πιο διεξοδικά.
Δεύτερον, η χρήση του blockchain δεν είναι αναγκαία για τη λειτουργία ενός συστήματος SSI. Είναι μόνο ένα πιθανό εργαλείο που προσφέρει τις λειτουργίες αποθήκευσης, ενημέρωσης, διαγραφής/ανάκλησης των DID που μπορεί να προσφέρει ένα κεντρικό σύστημα, αλλά τώρα γίνεται με αποκεντρωμένο τρόπο. Στη θέση του blockchain θα μπορούσαμε να χρησιμοποιήσουμε οποιαδήποτε τεχνολογία προσφέρει αντίστοιχες λειτουργίες, όπως για παράδειγμα η IPFS.
Σχήμα 5
Άρα λοιπόν, για να ανακεφαλαιώσουμε, το SSI υποστηρίζει μοναδικές ιδιότητες που επιτρέπουν τη προστασία της ιδιωτικότητας με τρόπο ουσιαστικό:
- Επιλεκτική Αποκάλυψη: Ο κάτοχος ενός διαπιστευτηρίου μπορεί να κοινοποιήσει μόνο τα χαρακτηριστικά αυτά που είναι απαραίτητα από τον πάροχο μιας υπηρεσίας και να παραλείψει τα υπόλοιπα (βλ. Σχήμα 5).
- Απόδειξη μηδενικής γνώσης: Ο κάτοχος ενός διαπιστευτηρίου μπορεί να αποδείξει μια ιδιότητα κάποιου χαρακτηριστικού που περιέχεται στο διαπιστευτήριο, χωρίς να αποκαλύψει την πραγματική του τιμή (π.χ. μπορείτε να αποδείξετε ότι είστε άνω των 18 χωρίς να αποκαλύψετε την ημερομηνία γέννησής σας).
- Μη συνδεσιμότητα: Η εκδοτική αρχή ενός διαπιστευτηρίου δεν είναι σε θέση να γνωρίζει για ποιό λόγο ή για ποιές υπηρεσίες το χρησιμοποιεί ο κάτοχός του. Επίσης η κάθε χρήση ενός διαπιστευτηρίου μπορεί να παραμείνει ασύνδετη με τη χρήση του σε μια διαφορετική υπηρεσία.
Το SSI ως προτεραιότητα της Ευρωπαϊκής Ένωσης
Η ΕΕ έχει υιοθετήσει το όραμα του SSI συμπεριλαμβάνοντας το «ευρωπαϊκό αυτόνομο πλαίσιο ταυτότητας» (ESSIF) ως μέρος της «ευρωπαϊκής υποδομής υπηρεσιών blockchain» (EBSI). Το EBSI είναι μια πρωτοβουλία της ΕΕ, η οποία στοχεύει στην παροχή δημόσιας υποδομής blockchain για κυβερνητικές υπηρεσίες (σε επίπεδο ΕΕ). Το ESSIF, με τη σειρά του, βασίζεται σε αυτήν την υποδομή προκειμένου να αναπτύξει και να προωθήσει λύσεις SSI. Επιπλέον, το σύστημα που θα προκύψει στα πλαίσια του ESSIF θα πρέπει να είναι συμβατό με τις νομοθεσίες GDPR και eIDAS ώστε να προσφέρει τις ανώτερες δυνατές εγγυήσεις στο επίπεδο προστασίας των ευρωπαίων πολιτών. Ο στόχος είναι να παρέχει ένα σύστημα διαχείρισης της ταυτότητας για τους πολίτες βασισμένο σε blockchain, το οποίο, αντίστοιχα με ένα πραγματικό πορτοφόλι, θα αποθηκεύει την ταυτότητα, την άδεια οδήγησης, την κάρτα υγείας, την ταυτότητα φοιτητή κ.λπ. σε ένα ψηφιακό πορτοφόλι, το οποίο θα είναι υπό τον πλήρη έλεγχο των πολιτών. Με αυτόν τον τρόπο μεταβαίνουμε στην εποχή της ψηφιακής ταυτότητας με όλα τα πλεονεκτήματα που αυτό έχει, όπως η προστασία του απορρήτου, η προστασία προσωπικών δεδομένων και ο έλεγχος μόνο από τον χρήστη.
Παράλληλα η Ευρωπαϊκή Επιτροπή πρότεινε την ενημέρωση του κανονισμού ΕΕ 910/2014 (eIDAS) για τη δημιουργία ενός Ευρωπαϊκού Πλαισίου Ψηφιακής Ταυτότητας. Αυτή η πρόταση συζητείται επί του παρόντος από τις επιτροπές του Ευρωπαϊκού Κοινοβουλίου και περιλαμβάνει αρκετές πτυχές σχετικά με το SSI. Υποστηρίζει ιδίως την ιδέα ενός «ευρωπαϊκού πορτοφολιού ψηφιακής ταυτότητας» (European Digital Identity Wallet), το οποίο είναι ένα προϊόν και μια υπηρεσία που επιτρέπει στον χρήστη να αποθηκεύει διαπιστευτήρια και χαρακτηριστικά που συνδέονται με την ταυτότητά του και να τα επιδεικνύει κατόπιν αιτήματος online και offline προκειμένου να έχουν πρόσβαση σε υπηρεσίες. Ωστόσο, η πρόταση στερείται ακόμα σαφήνειας σχετικά με κάποια μέτρα προστασίας ασφαλείας και ιδιωτικότητας, τα οποία βρίσκονται ακόμα υπό συζήτηση. Η έκθεση που δημοσιεύτηκε πρόσφατα με την υποστήριξη της EDRi παίρνει κριτική στάση απέναντι στην παρούσα πρόταση και προτείνει συγκεκριμένες βελτιώσεις.
Σε εθνικό επίπεδο πολλές Ευρωπαϊκές χώρες έχουν ήδη ανακοινώσει πρωτοβουλίες για την προώθηση ενός αποκεντρωμένου πορτοφολιού ψηφιακής ταυτότητας, συμπεριλαμβανομένων της Γερμανίας, Φινλανδίας και Ισπανίας. Αλλά και εκτός Ευρωπαϊκής ένωσης αξίζει να αναφέρουμε τα παραδείγματα του Καναδά (Βρετανική Κολούμπια, Οντάριο) και της Λατινικής Αμερικής. Η έκθεση που δημοσίευσε την περασμένη εβδομάδα ο ENISA πάνω στις τεχνολογίες SSI δίνει μια ολοκληρωμένη εικόνα των πρωτοβουλιών SSI που βρίσκονται σε εξέλιξη στην Ευρώπη.
Τέλος αξίζει να τονίσουμε ότι υποδομές δεδομένων στην Ευρώπη όπως το GAIA-X θα χρησιμοποιούν επίσης το SSI για επαλήθευση της ταυτότητας και εξουσιοδότηση του χρήστη, καθώς το επίπεδο που εξασφαλίζει το άνοιγμα ενός απλού λογαριασμού πελάτη είναι ανεπαρκές και η απαραίτητη ασφάλεια καθίσταται δυνατή μόνο με την επαλήθευση της ταυτότητας του χρήστη, κάτι που το SSI μπορεί να εξασφαλίσει σεβόμενο παράλληλα την ιδιωτικότητα των χρηστών.
Εκκρεμούντα ζητήματα
H ακριβής υλοποίηση και οι τεχνικές προδιαγραφές των δομικών λίθων του SSI όπως π.χ. του πορτοφολιού ψηφιακής ταυτότητας δεν έχουν ακόμη καθοριστεί, και πολλά τεχνικά θέματα παραμένουν ανοιχτά. Ένα θεμελιώδες θέμα που εκκρεμεί είναι η διακυβέρνηση συστημάτων SSI για τη διαχείριση της εμπιστοσύνης και οι τεχνικές λύσεις που απαιτούνται ως επακόλουθο.
Με την αφαίρεση των ενδιάμεσων που είχαν τον έλεγχο των κρυπτογραφικών κλειδιών στα κεντροποιημένα συστήματα, ο έλεγχος αυτών των κλειδιών περνάει στους χρήστες στα συστήματα SSI. Μόνο ο χρήστης ξέρει και ελέγχει πλέον το ιδιωτικό κλειδί που αντιστοιχεί στο DID του, το οποίο είναι αποθηκευμένο στο ψηφιακό του πορτοφόλι. Με αυτό το κλειδί υπογράφει όλα τα διαπιστευτήρια που παρουσιάζει στον επαληθευτή. Οπότε δημιουργείται αμέσως ένα σημαντικό ζήτημα εμπιστοσύνης: Πώς μπορεί ένας επαληθευτής να είναι σίγουρος ότι το κλειδί του χρήστη πίσω από τα επαληθεύσιμα διαπιστευτήρια δεν έχει παραβιαστεί; Αυτό μεταφράζεται καλύτερα στο εξής ερώτημα: Αν το ψηφιακό πορτοφόλι βρίσκεται αποθηκευμένο στη κινητή συσκευή του χρήση, πώς μπορούμε να είμαστε σίγουροι ότι η συσκευή αυτή δεν έχει παραβιαστεί από έναν εισβολέα ο οποίος έχει πλέον τον έλεγχο του ψηφιακού πορτοφολιού και των κλειδιών; Αυτό απαιτεί μηχανισμούς ασφαλείας με χρήση τεχνολογιών όπως Trusted Computing, ώστε να μπορέσουμε να επαληθεύσουμε την ορθότητα του πορτοφολιού (ως λογισμικό). Στην Ελλάδα η εταιρία Ubitech πρωτοπορεί στην ανάπτυξη τέτοιων λύσεων στα πλαίσια του ESSIF.
Ένα αντίστοιχο πρόβλημα εμπιστοσύνης που πρέπει να αντιμετωπίσουν τα συστήματα που βασίζονται σε SSI είναι: Πώς μπορεί κανείς να εμπιστευτεί ότι η οντότητα που εκδίδει τα διαπιστευτήρια είναι στην πραγματικότητα η οντότητα που ισχυρίζεται ότι είναι; Το SSI από μόνο του επιτρέπει σε οποιοδήποτε να εκδίδει διαπιστευτήρια. Οπότε εάν, για παράδειγμα, κάποιος μπορούσε να εκδώσει διαπιστευτήρια στο όνομα του «Πανεπιστημίου Πατρών», προκύπτει σαφώς πρόβλημα εμπιστοσύνης. Ένας επαληθευτής θα πρέπει να μπορεί να επαληθεύσει την ταυτότητα του εκδότη μέσω ενός κοινού πλαισίου εμπιστοσύνης. Για παράδειγμα θα μπορούσε το eIDAS να πάρει αυτό το ρόλο αλλά δεν αρκεί να καλύψει όλο το εύρος εφαρμογών. Υπάρχουν λοιπόν πρότζεκτ, και πάλι στα πλαίσια του ESSIF, που δουλεύουν προς αυτή τη κατεύθυνση.
Ένα άλλο μεγάλο θέμα που παραμένει ανοιχτό είναι το ερώτημα εάν θα μπορέσει ένας χρήστης να πάρει το βάρος της διαχείρισης της ψηφιακής του ταυτότητας πάνω του και να καταβάλλει αυτήν την επιπλέον προσπάθεια από το μέρος του χωρίς να χρειάζεται να βασίζεται σε τρίτους. Για παράδειγμα, ένα πρόβλημα είναι η διαχείριση του ψηφιακού πορτοφολιού και των κρυπτογραφικών κλειδιών που συνδέονται με αυτό. Σε αυτήν την περίπτωση, το backup και η ανάκτηση των κλειδιών γίνεται αποκλειστική ευθύνη του χρήστη με όλες τις συνέπειες σε περίπτωση μόνιμης απώλειας. Για να μπορέσουν οι περισσότερους χρήστες να το διαχειριστούν αυτό, θα πρέπει να εμπλακεί κάποιος τρίτος για να το αναλάβει εκ μέρους τους, δημιουργώντας την ανάγκη ενός συμβιβασμού από μεριάς ιδιωτικότητας για περισσότερη ευκολία. Έτσι λοιπόν αναπτύσσονται μηχανισμοί όπως τα Αποκεντρωμένα Συστήματα Διαχείρισης Κλειδιών (DKMS), κάτω από ένα παγκόσμιο διαλειτουργικό πρότυπο για φορητά ψηφιακά πορτοφόλια. Το DKMS θα επιτρέπει στους χρήστες να βασίζονται σε μια εφαρμογή τρίτου για τη διαχείριση των ψηφιακών πορτοφολιών τους, και ειδικότερα να βοηθά στην ανάκτηση κλειδιών.
Συμπεράσματα
Η ψηφιακή ταυτοποίηση αποτελεί θεμελιώδη λίθο όχι μόνο για την επιτυχία της ψηφιοποίησης στην εποχή μας, αλλά και για τη διατήρηση μιας ανοιχτής, δημοκρατικής και βιώσιμης κοινωνίας. Για αξιόπιστες και ασφαλείς αλληλεπιδράσεις η τεχνολογία SSI μπορεί να εξασφαλίσει το κατάλληλο πλαίσιο αναγνώρισης και επαλήθευσης ψηφιακών ταυτοτήτων με επίκεντρο τον χρήστη, ο οποίος καταστείται κυρίαρχος των δεδομένων του.
Ωστόσο, είναι ζωτικής σημασίας τα συστήματα ψηφιακής ταυτότητας να σχεδιάζονται, να εφαρμόζονται και να ρυθμίζονται υπεύθυνα για να διασφαλίζονται τα απαραίτητα πρότυπα ιδιωτικότητας και ασφάλειας. Αυτό δεν είναι μόνο τεχνικό πρόβλημα, αλλά απαιτεί την στενή συνεργασία των νομοθετικών και ρυθμιστικών φορέων που σχεδιάζουν ή ελέγχουν τέτοια συστήματα με εμπειρογνώμονες σε θέματα ασφάλειας, οργανώσεις προστασίας των ψηφιακών δικαιωμάτων, υποστηρικτές των πολιτικών δικαιωμάτων και άλλους ενδιαφερόμενους φορείς.
Παρακάτω ανακεφαλαιώνουμε αυτά που θεωρούμε ως σημαντικότερα συμπεράσματα μέσα από την ανάλυση που κάναμε σε αυτό το άρθρο:
- Τα συστήματα SSI δεν είναι απαραίτητο να βασίζονται στη χρήση blockchain. Κάτι τέτοιο αυξάνει την πολυπλοκότητα του συνολικού συστήματος με πρωτόκολλα και διαδικασίες για τις οποίες δεν υπάρχουν ακόμη αξιόπιστα στοιχεία για την ασφάλειά τους ούτε έχουν ολοκληρωθεί ακόμα οι διαδικασίες τυποποίησής τους. Στη περίπτωση που καταφύγουμε στη λύση του blockchain θα πρέπει να διασφαλίζεται ότι δεν αποθηκεύονται εκεί προσωπικά δεδομένα ούτε επιτρέπεται η διεξαγωγή συμπερασμάτων σχετικά με το ευαίσθητο περιεχόμενο των διαπιστευτηρίων, καθώς η αποθήκευση πληροφοριών στο blockchain είναι μόνιμη και δεν υπάρχει τεχνικά η δυνατότητα διαγραφής.
- Η διαχείριση των κλειδιών παίζει πολύ σημαντικό ρόλο στα συστήματα SSI. Η απώλεια των ιδιωτικών κλειδιών δεν μπορεί να αποφευχθεί πάντα, αλλά αυτό δεν θα πρέπει να οδηγεί στην απώλεια των αντίστοιχων διαπιστευτηρίων. Είναι απαραίτητος ένας μηχανισμός ανάκτησης κλειδιών που να συνοδεύεται με υψηλό επίπεδο μέτρων ασφαλείας λειτουργούν τοπικά στην συσκευή του χρήστη, αλλά τις διαχειρίζεται μια εξωτερική υπηρεσία (π.χ. στο cloud), τότε ο χρήστης εξαρτάται από την εν λόγω υπηρεσία καθώς και από την διαθεσιμότητά της. Αυτό περιορίζει σε ένα βαθμό την κυριαρχία του πάνω στα δεδομένα ταυτότητάς του.
- Θα πρέπει να υπάρχει ένα σαφώς καθορισμένο μοντέλο για την διαμόρφωση εμπιστοσύνης μεταξύ όλων των εμπλεκομένων σε ένα σύστημα SSI. Ειδικότερα από τη πλευρά του χρήστη, η σύνδεση των ψηφιακών δεδομένων ταυτότητας με τον κάτοχό τους πρέπει να διασφαλίζεται με τεχνικά μέτρα. Πρέπει να διασφαλίζεται ότι μόνο ο κάτοχος της ταυτότητας μπορεί να χρησιμοποιεί τα διαπιστευτήρια και ότι δεν επιτρέπεται να τα διαβιβάσει σε τρίτους. Θα πρέπει να εξασφαλίζεται επίσης ότι κανένας τρίτος δεν έχει τη δυνατότητα να πάρει τον έλεγχο του ψηφιακού πορτοφολιού και των κλειδιών του χρήστη.
* Ο Ιωάννης Κροντήρης είναι απόφοιτος του τμήματος Μηχανικών Η/Υ του Πολυτεχνείου Κρήτης και κατέχει διδακτορικό τίτλο στην Πληροφορική από το Πανεπιστήμιο του Mannheim της Γερμανίας. Απο το 2014 εργάζεται ως ερευνητής σε θέματα τεχνολογιών προστασίας της ιδιωτικότητας στο ερευνητικό κέντρο της Huawei στο Μόναχο.
Digital Marketing και Προστασία Προσωπικών Δεδομένων
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc *
Είναι πλέον αποδεδειγμένο ότι η προώθηση των σύγχρονων επιχειρήσεων μέσω του ψηφιακού μάρκετινγκ (digital marketing) είναι πιο επιτακτική από ποτέ.
Το φαινόμενο της παγκοσμιοποίησης και ο έντονος ανταγωνισμός στον επιχειρηματικό κόσμο, οι αυξανόμενες απαιτήσεις των καταναλωτών από τα προϊόντα και τις υπηρεσίες που αγοράζουν, η ανάπτυξη του διαδικτύου και των μέσων κοινωνικής δικτύωσης, η αλληλεπίδραση των χρηστών και η εύκολη ηλεκτρονική ανταλλαγή απόψεωνκαθιστούν παραπάνω από απαραίτητη την εκτενή παρουσία των σύγχρονων επιχειρήσεων στο διαδίκτυο.
Συγκεκριμένα, είναι πιο επιτακτική από ποτέ η ανάπτυξη του ψηφιακού μάρκετινγκ, είτε πρόκειται για μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου, είτε για αμειβόμενη αναζήτηση, είτε για διαφήμιση μέσω κοινωνικών μέσων.
Τα παραπάνω συνεπάγονται ολοένα και μεγαλύτερη ανάγκη για συλλογή προσωπικών δεδομένων με σκοπό την εξατομίκευση των διαφημιστικών εμπειριών των – εν δυνάμει – πελατών και την παρακολούθηση της συμπεριφοράς τους στο διαδίκτυο.
Στο πλαίσιο αυτό, οι έννοιες της επιχειρηματικής ηθικής στο ψηφιακό μάρκετινγκ αποκτούν ιδιαίτερη σημασία, με έμφαση στον σεβασμό και την προστασία των προσωπικών δεδομένων, ειδικότερα μετά την έλευση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) τον Μάιο 2018. Πέραν τούτου, καθότι τα δεδομένα αποτελούν ίσως ένα από τα πολυτιμότερα περιουσιακά στοιχεία των σύγχρονων επιχειρήσεων, αυτά πρέπει να προστατεύονται με κάθε τρόπο.
Συνεπώς, κατά την προετοιμασία μιας στρατηγικής ψηφιακού μάρκετινγκ, πρέπει να ακολουθούνται ορισμένοι βασικοί κανόνες δεοντολογίας, όπως η παροχή σωστών πληροφοριών για τα παρεχόμενα προϊόντα / υπηρεσίες, η ειλικρινής διαφήμιση, η επαρκής υποστήριξη προϊόντος / υπηρεσίας, η δυνατότητα να ανταπεξέλθει η επιχείρηση με σταθερότητα και συνέπεια στις ποιοτικές και ποσοτικές απαιτήσεις των καταναλωτών, ο σεβασμός διαφορετικών θρησκευτικών και πολιτικών πεποιθήσεων, η κατανόηση διαφορετικών πολιτισμών και κουλτούρας, η αποφυγή δυσφήμισης του ανταγωνισμού και ο σεβασμός στην προστασία των προσωπικών δεδομένων των πελατών ή των εν δυνάμει πελατών.
Λαμβάνοντας υπόψη όλα τα παραπάνω, δεν είναι λίγες οι συζητήσεις στον επιχειρηματικό κόσμο, για το αν ο νέος Κανονισμός (GDPR) ήρθε για να θέσει εμπόδια στον «διαδικτυακό» κόσμο ή να ωθήσει τις επιχειρήσεις σε πιο ηθικές και ειλικρινείς ενέργειες ψηφιακού μάρκετινγκ, χτίζοντας έτσι πιο ουσιαστικές και ποιοτικές σχέσεις με τους καταναλωτές και απολαμβάνοντας με αυτόν τον τρόπο, μεγαλύτερη ανταπόκριση και αφοσίωση από μέρους τους. Αντί του προβληματισμού και του φόβου για τα δυνητικά πρόστιμα που προβλέπονται λόγω GDPR, μήπως απαιτούνται πλέον – εξ αρχής – ξεκάθαρες ενέργειες, οι οποίες θα σέβονται τα δικαιώματα των χρηστών / πελατών; (privacy by design).
Έχει αποδειχθεί ότι η εμβάθυνση στις ανάγκες των πελατών μπορεί να οδηγήσει στην αύξηση της «ποιότητας» των δεδομένων. Αποκτώντας πιο ποιοτικούς πελάτες μέσω μιας προσέγγισης βασισμένης στην εμπιστοσύνη και την αξιοπιστία, μια επιχείρηση μπορεί να αναμένει πολλά δυνητικά οφέλη.
Με άλλα λόγια, οι χρήστες που χορηγούν τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων, μπορεί να οδηγήσουν σε υψηλότερα ποσοστά «κλικ» και, γενικότερα, αφοσίωσης, ενώ σύμφωνα με τη Cisco, για κάθε δολάριο που δαπανάται για την προστασία της ιδιωτικότητας των πελατών, μια επιχείρηση μπορεί να λαμβάνει έως και 2,70$ σε συναφή οφέλη, όπως ο μετριασμός της απώλειας δεδομένων, η ευελιξία, η καινοτομία, η αφοσίωση των πελατών κλπ.
Στα πλαίσια αυτά, για να δημιουργηθούν σχέσεις εμπιστοσύνης, απαιτείται η επικέντρωση στην εξατομικευμένη εμπειρία των πελατών με τρόπο αυθεντικό και ανθρωπιστικό, η αντιμετώπιση των δεδομένων να συλλέγονται με σεβασμό, να λαμβάνεται η «άδεια» για επεξεργασία πριν τη συλλογή προσωπικών δεδομένων, καθώς και να υλοποιούνται ενέργειες που θα διατηρούν ασφαλή τα δεδομένα.
Οι επιχειρήσεις πρέπει πλέον να προχωρούν σε μια εκτεταμένη έρευνα, έτσι ώστε να γνωρίσουν τους πελάτες τους και στη συνέχεια να καταλήξουν σε μια προσαρμοσμένη και σαφή στρατηγική για να τους προσεγγίζουν σε κάθε στάδιο, εφόσον όμως οι ίδιοι οι πελάτες το επιθυμούν!
Συνεπώς, στην θέση της παραδοσιακής προσέγγισης “one-size-to-all”, η στόχευση πλέον πρέπει να είναι σε πιο προσαρμοσμένες διαφημίσεις που ικανοποιούν τις συγκεκριμένες ανάγκες των πελατών, έχοντας όμως λάβει τεκμηριωμένα την ρητή συγκατάθεσή τους.
GDPR και ψηφιακό μάρκετινγκ – Απαίτηση για συμμόρφωση
Έχοντας παραθέσει τις παραπάνω σκέψεις, κάθε επιχείρηση ή οργανισμός που ασχολείται με το ψηφιακό μάρκετινγκ θα πρέπει να γνωρίζει την ανάγκη συμμόρφωσης με τους νόμους περί προστασίας δεδομένων και ότι οι συνέπειες της μη συμμόρφωσης θα ήταν ανεπιθύμητες, ακόμα και καταστροφικές.
Ακολούθως, παρατίθενται ορισμένες από τις πολλές αρχές συμμόρφωσης που πρέπει να ακολουθεί μια επιχείρηση που ασχολείται με το ψηφιακό μάρκετινγκ. Ενδεικτικά, αλλά όχι περιοριστικά:
Email Marketing
Στην παραδοσιακή πρακτική email marketing, υπήρχε η δυνατότητα αγοράς μαζικής λίστας email και στέλνονταν τυχαία μηνύματα ηλεκτρονικού ταχυδρομείου σε άτομα χωρίς τη συγκατάθεσή τους. Πλέον, η αγορά λιστών ηλεκτρονικού ταχυδρομείου απαγορεύεται αυστηρά.
Η αποστολή ηλεκτρονικής αλληλογραφίας εμπίπτει στις διατάξεις της «αζήτητης ηλεκτρονικής επικοινωνίας» (Ν. 3471/2006) και αφορά δευτερευόντως τα προσωπικά δεδομένα. Σύμφωνα με τις διατάξεις περί αζήτητης ηλεκτρονικής επικοινωνίας, η αποστολή newsletter είναι νόμιμη εφόσον έχει ληφθεί προηγούμενη, ρητή συγκατάθεση από τον λήπτη.
Συνεπώς, σε περίπτωση αποστολής ηλεκτρονικών επικοινωνιών (πχ newsletters) ή στην περίπτωση sms marketing, θα πρέπει οπωσδήποτε να δίνεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).
Επίσης, πρέπει να δίνεται σε κάθε επικοινωνία η δυνατότητα απεγγραφής (ανάκλησης της συγκατάθεσης). Επιπλέον, συστήνεται η διαδικασία double-opt-in (αφού δοθεί το e-mail, αποστολή στο e-mail ενός link για επιβεβαίωση από τον επισκέπτη / χρήστη).
Σχετικά με τους υφιστάμενους πελάτες, υπάρχει η δυνατότητα συνέχισης της αποστολής newsletter για όσα «υποκείμενα» η επιχείρηση μπορεί να αποδείξει ότι είχε κάποια συναλλακτική ή άλλη έννομη σχέση μαζί τους (στα πλαίσια της οποίας συνέλεξε και επεξεργάστηκε προσωπικά δεδομένα).
Συνεπώς, δεν υπάρχει πρόβλημα με την αποστολή newsletter στους πελάτες της επιχείρησης, αρκεί να υπάρχει opt-out disclaimer, το οποίο οι παραλήπτες μπορούν εύκολα να βρουν και να επιλέξουν για να μην λαμβάνουν στο μέλλον newsletter ή άλλες επικοινωνίες.
Σχετικά με διευθύνσεις προσωπικών email που αγοράστηκαν από άλλη εταιρία, εφόσον τα υποκείμενα δεν έχουν παράσχει την συγκατάθεση τους για τη λήψη ηλεκτρονικών επικοινωνιών, οποιαδήποτε αποστολή θα κρινόταν παράνομη, ακόμα και αν αυτή πραγματοποιούνταν για την λήψη σχετικής συγκατάθεσης.
Σωστό και τακτικό «ξεκαθάρισμα» της ηλεκτρονικής βάσης δεδομένων
Γενικά, η ορθή πρακτική είναι ο διαχωρισμός παραληπτών, για τους οποίους είναι δυνατόν να αποδειχθεί η λήψη συγκατάθεσης και για τους οποίους δεν μπορεί να αποδειχθεί η λήψη συγκατάθεσης, στους οποίους και δεν πρέπει να αποστέλλονται ηλεκτρονικές επικοινωνίες.
Επιπλέον σημεία που χρήζουν προσοχής είναι η απόκρυψη παραληπτών email με χρήση της κρυφής κοινοποίησης (bcc), η μη αναφορά στον τίτλο / περιγραφή του e-mail ονοματεπωνύμων ή άλλων δεδομένων με τα οποία μπορεί να ταυτοποιηθεί ένα φυσικό πρόσωπο, η μη συγκάλυψη ταυτότητάς του αποστολέα (επιχείρησης) και το «κλείδωμα» επισυναπτόμενου αρχείου με ευαίσθητα δεδομένα με ταυτόχρονη αποστολή του κωδικού ανοίγματος με sms.
Διαφάνεια στην εταιρική ιστοσελίδα και ορθή διαχείριση Cookies
Η ιστοσελίδα πρέπει να είναι απόλυτα διαφανής σχετικά με τις δραστηριότητες επεξεργασίας της, ειδικά όταν πρόκειται για σκοπούς ψηφιακού μάρκετινγκ.
Οι χρήστες πρέπει να ενημερώνονται για τη φύση της επεξεργασίας και τις δραστηριότητες μάρκετινγκ στις οποίες εμπλέκονται, ενώ πρέπει να τους δίνεται η δυνατότητα να αποδέχονται ή να απορρίπτουν την εγκατάσταση cookies πέραν των «αυστηρώς απαραίτητων».
Σε περίπτωση απόρριψης ή μη επιλογής, θα πρέπει να χρησιμοποιούνται μόνο τα αναγκαία τεxνικά / λειτουργικά cookies που εξασφαλίζουν την απρόσκοπτη λειτουργία του ιστότοπου και όχι τα cookies στατιστικών αναλύσεων, στόχευσης/διαφήμισης κλπ.
Όροι και προϋποθέσεις χρήσης / Πολιτική Προστασίας Δεδομένων
Στην ιστοσελίδα πρέπει επίσης να παρατίθενται οι όροι και οι προϋποθέσεις χρήσης της και η πολιτική / δήλωση προστασίας δεδομένων, με αναφορά στις περιγραφές μεθόδου συλλογής των δεδομένων (για παράδειγμα, από απλή επίσκεψη έως την ολοκλήρωση παραγγελίας μέσω αυτής) και τους τρόπους χρήσης των δεδομένων.
Ειδικά για την πολιτική προστασίας δεδομένων, πρέπει σε αυτήν να εξηγείται με απλό και κατανοητό τρόπο πώς ο ιδιοκτήτης της ιστοσελίδας και τυχόν τρίτα μέρη, συλλέγουν, χρησιμοποιούν και προστατεύουν τα προσωπικά δεδομένα των χρηστών. Επιπλέον, πρέπει να δίνονται στοιχεία επικοινωνίας και επιπλέον πληροφορίες.
Φόρμα επικοινωνίας στην ιστοσελίδα / Φόρμα αποστολής CV
Ενημέρωση του επισκέπτη κατα την συμπλήρωση της φόρμας επικοινωνίας στην ιστοσελίδα ή της φόρμας αποστολής βιογραφικού σημειώματος ότι ο στόχος της επεξεργασίας των προσωπικών δεδομένων είναι αποκλειστικά η παροχή απαντήσεων ή επίλυσης τυχόν προβλημάτων ή το ενδεχόμενο πρόσληψης, με αναφορά κάθε φορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Αξιολόγηση υπηρεσιών τρίτων μερών
Εάν πραγματοποιείται χρήση υπηρεσιών από τρίτους για τους σκοπούς ψηφιακού μάρκετινγκ, τότε πρέπει να προσδιορίζεται πώς συλλέγονται και χρησιμοποιούνται τα δεδομένα μέσω της ιστοσελίδας. Πρέπει να ελέγχονται και να επιβεβαιώνονται εάν οι πολιτικές των τρίτων μερών συμφωνούν με τις προϋποθέσεις του GDPR (πού αποθηκεύονται τα δεδομένα , ύπαρξη κατάλληλων μέτρων ασφαλείας από μέρους των «τρίτων» κλπ.)
Συμμετοχή σε ηλεκτρονικούς διαγωνισμούς
Σε περίπτωση δήλωσης συμμετοχής σε ηλεκτρονικούς διαγωνισμούς μέσω της ιστοσελίδας ή των λογαριασμών κοινωνικής δικτύωσης της επιχείρησης, πρέπει να πραγματοποιείται ενημέρωση ότι τα δεδομένα θα χρησιμοποιηθούν αποκλειστικά για τη διεξαγωγή του διαγωνισμού, με δυνατότητα ανάκλησης της συμμετοχής ανά πάσα στιγμή και ταυτόχρονη αναφορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Σε περίπτωση ηλεκτρονικού διαγωνισμού με έπαθλο όπου οι χρήστες πρέπει να εισέλθουν στην ιστοσελίδα ώστε να δηλώσουν συμμετοχή, απαγορεύεται στους όρους του διαγωνισμού να είναι προεπιλεγμένο το «τετραγωνίδιο» σύμφωνα με το οποίο οι χρήστες παρέχουν την συγκατάθεση τους για την εγκατάσταση cookies στον υπολογιστή τους, ακόμα και αν οι χρήστες μπορούν να το αποεπιλέξουν.
Συγκαταθέσεις λοιπών υποκειμένων για συμμετοχή σε δράσεις ψηφιακού μάρκετινγκ και άλλων δράσεων
Ενδεικτικά, μπορεί να αφορά τη συγκατάθεση προσωπικού, συνεργατών ή/και τρίτων που συνδέονται με την επιχείρηση για την επεξεργασία των προσωπικών τους δεδομένων, με σκοπό την ανάρτηση δεδομένων τους στην ιστοσελίδα, στα μέσα κοινωνικής δικτύωσης ή/και σε άλλα μέσα ενημέρωσης της επιχείρησης. Μπορεί επίσης να αφορά προβολή εκδήλωσης προσωπικού, παράθεση απόψεων συνεργάτη, προβολή εταιρικού video με «πρωταγωνιστές» μέλη του προσωπικού κλπ.).
Συμπερασματικά, οι επιχειρήσεις που δραστηριοποιούνται στον χώρο του Digital & Social Media Marketing δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και τη σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται, αλλά και να υιοθετούν μια σειρά από μέτρα προστασίας και διαφύλαξης των δεδομένων. Παράλληλα, θα πρέπει πάντα να επιτρέπεται στους χρήστες η δυνατότητα να αντιτάσσονται ανά πάσα στιγμή και χωρίς χρέωση στις επεξεργασίες των προσωπικών τους δεδομένων που αφορούν εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ, MSc in International Business and Finance και Diploma in Digital & Social Media Marketing (ACT). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι γενικός γραμματέας και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της Homo Digitalis, μέλος του DPO Network Greece και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
Apple Airtags: Κινδυνεύουμε από μία εφαρμογή που βρίσκει τα κλειδιά μας;
Γράφει η Μιρέλλα Καβαδάκη *
Ετοιμάζεσαι να βγεις έξω. Βάζεις παπούτσια, παίρνεις τσάντα, κινητό, πορτοφόλι, αλλά δε βρίσκεις τα κλειδιά σου. Κάνεις άνω-κάτω το σπίτι και ακόμη πουθενά τα κλειδιά. Οι φίλοι σου σε περιμένουν κι εσύ έχεις ήδη αργήσει αρκετά. Τί κάνεις;
Εάν συνηθίζεις να χάνεις τα πράγματά σου ή να τα ξεχνάς σε διάφορα μέρη -ποιος δεν το κάνει άλλωστε;- η Apple σου προσφέρει τη λύση με το νέο της προϊόν, το AirTag. Η Apple λάνσαρε αυτή τη μικρή κυκλική συσκευή τον Απρίλιο του 2021 με σκοπό να βοηθήσει τους χρήστες των προϊόντων της (Ipad, Iphone, κλπ) να ανιχνεύουν τα αντικείμενά τους.
Πώς λειτουργεί το AirTag και τα πλεονεκτήματά του
Το μόνο που χρειάζεται να κάνει ο χρήστης είναι να τοποθετήσει το AirTag στο αντικείμενο, που επιθυμεί να γνωρίζει την τοποθεσία του. Για παράδειγμα, μπορεί να τοποθετήσει το AirTag στην αποσκευή του, έτσι ώστε σε περίπτωση που χαθεί, να ξέρει πού βρίσκεται. Μάλιστα, ο χρήστης έχει δικαίωμα να συνδέσει στο Apple ID του έως και 16 διαφορετικά AirTag, πράγμα που σημαίνει ότι μπορεί να ανιχνεύσει έως και 16 διαφορετικά αντικείμενα.
Το AirTag είναι μία μικρή συσκευή 1.26 ιντσών, το οποίο μεταδίδει συνεχώς σήμα μέσω Bluetooth. Το iPhone/iPad σας, ή τα iPhone/iPad αγνώστων που μπορεί να περπατήσουν εντός της εμβέλειας Bluetooth του AirTag σας, διαβιβάζουν το σήμα στην Apple μέσω του διαδικτύου, μαζί με τις συντεταγμένες GPS του σημείου που βρισκόταν το τηλέφωνο ή το tablet, όταν εντόπισε το σήμα.
Δεν είναι η πρώτη φορά που κυκλοφορεί ένα τέτοιο προϊόν στην αγορά. Η εταιρία Tile προσφέρει 4 hardware συσκευές[1], οι οποίες μπορούν να ενσωματωθούν σε κλειδιά, να μπουν στο πορτοφόλι ή να κολλήσουν στο σκελετό του ποδηλάτου. Ο βασικός λόγος, που τα AirTag καταλαμβάνουν την κυρίαρχη θέση στα προϊόντα αυτής της κατηγορίας είναι το γεγονός ότι το προϊόν της Tile πρέπει να το πετάξεις, όταν τελειώσουν οι μπαταρίες του[2].
Η συσκευή της Tile χρησιμοποιεί επίσης σήμα Bluetooth και μία εφαρμογή για την ανίχνευση των αντικειμένων. Αυτό που είναι καινούργιο σχετικά με τα AirTag δεν είναι τόσο η τεχνολογία που κρύβεται από πίσω, όσο περισσότερο η ευκολία ανίχνευσης του αντικειμένου. Ειδικότερα, μέσω του δικτύου ‘Find My’, στο οποίο είναι συνδεδεμένοι οι χρήστες Iphone/Ipad συσκευών, μεταδίδεται το σήμα της τοποθεσίας του AirTag. Πρόκειται για πάνω από 1 δισεκατομμύριο χρήστες σε όλο τον κόσμο, οι οποίοι, χωρίς καν να το γνωρίζουν, σε βοηθούν να βρεις την τοποθεσία του AirTag σου.
Γίνεται αντιληπτό, λοιπόν, ότι η συσκευή αυτή της Apple λειτουργεί πολύ καλά. Μάλιστα, κάποιοι θα έλεγαν ότι λειτουργεί υπερβολικά καλά, σε σημείο που θα έπρεπε να μας ανησυχεί.
Κίνδυνοι
Σε ένα βίντεο που δημοσιεύθηκε στο μέσο κοινωνικής δικτύωσης TikTok[3] -το οποίο μάλιστα έλαβε πάνω από 30 εκατομμύρια προβολές-, η χρήστης έλεγε ότι έλαβε ειδοποίηση στο iPhone της για ένα άγνωστο αξεσουάρ, το οποίο ταξιδεύει μαζί της από το Τέξας σε μία πτήση προς τη Βοστώνη. Σε βίντεο που ανέβασε η ίδια χρήστης 6 ημέρες μετά, δήλωσε πως βρήκε μία συσκευή AirTag, την οποία κάποιος είχε κολλήσει στο εσωτερικό της τσάντας της.
Παράλληλα, έχουν βγει στη δημοσιότητα αρκετές καταγγελίες για παράνομες δραστηριότητες, οι οποίες σχετίζονται με τα AirTag. Πολλές γυναίκες έχουν βρει τη συγκεκριμένη συσκευή στο αυτοκίνητό τους ή σε κάποια τσάντα τους, ενώ παράλληλα κάποιες αστυνομικές αρχές στις ΗΠΑ και τον Καναδά έχουν ήδη αρχίσει να εκπέμπουν τον κώδωνα του κινδύνου για κλοπές πολυτελών αυτοκινήτων[4].
Πριν ακόμη κυκλοφορήσουν τα AirTag στην αγορά, είχαν αρχίσει να εκφράζονται σοβαρές ανησυχίες για τη χρήση τους. Συγκεκριμένα, το Εθνικό Δίκτυο για την Καταπολέμηση της Ενδοοικογενειακής Βίας (National Network to End Domestic Violence – NNEDV) στις ΗΠΑ, σημειώνει τους κινδύνους που εγκυμονεί η συγκεκριμένη συσκευή, ειδικά για άτομα, που ζουν σε κακοποιητικά περιβάλλοντα. Όπως εξηγούν, είναι πολύ πιθανό να χρησιμοποιηθεί το AirTag με σκοπό την ανίχνευση ενός προσώπου, όταν για παράδειγμα αυτό προσπαθεί να διαφύγει από ένα κακοποιητικό περιβάλλον.
Πρόκειται για ζητήματα, τα οποία θα έπρεπε να ληφθούν σοβαρά υπόψη από τις εταιρίες που κατασκευάζουν συσκευές ανίχνευσης. Με τη βία κατά των γυναικών να αυξάνεται τα τελευταία χρόνια (γυναικοκτονίες, βιασμοί, απόπειρες σεξουαλικής παρενόχλησης), η τεχνολογία θα έπρεπε να αποτελεί τροχοπέδη τέτοιων περιστατικών και όχι να τα διευκολύνει να συμβούν.
Σε ερώτηση του δικτύου NNEDV σχετικά με το παρόν ζήτημα, η Apple απάντησε:
«Λαμβάνουμε την ασφάλεια των πελατών μας πολύ σοβαρά και αφοσιωνόμαστε στην ιδιωτικότητα και την ασφάλεια του AirTag. Το AirTag είναι σχεδιασμένο με ένα σύνολο προληπτικών χαρακτηριστικών για να αποθαρρύνει την ανεπιθύμητη παρακολούθηση -για πρώτη φορά στον κλάδο- και το δίκτυο Find My περιλαμβάνει ένα «έξυπνο» σύστημα με αποτρεπτικά μέτρα, που ισχύει για το AirTag, καθώς και για προϊόντα τρίτων που αποτελούν μέρος του Find My δικτύου. Ανεβάζουμε τον πήχη στο απόρρητο για τους χρήστες μας και τον κλάδο και ελπίζουμε ότι θα ακολουθήσουν και άλλοι.»[5].
Είναι αλήθεια. Η Apple έχει χτίσει ορισμένα συστήματα προστασίας. Προκειμένου να καταπολεμήσει το «ανεπιθύμητο tracking», η Apple έκανε δύο σημαντικές αναβαθμίσεις στο σύστημά της. Πρώτον, τα AirTag πλέον μπορούν να ειδοποιούν τα πιθανά θύματα, με ηχητικές ειδοποιήσεις και μηνύματα σχετικά με ύποπτο AirTag, το οποίο έχει συνδεθεί και παρακολουθεί το iPhone. Ωστόσο, όπως τονίζει και ο Goeffrey Fowler[6], συσκευές άλλων εταιριών (π.χ. που χρησιμοποιούν λογισμικό Αndroid[7]) δε γίνεται καν να στείλουν τη συγκεκριμένη ειδοποίηση στους χρήστες τους.
Δεύτερον, το AirTag θα βγάζει ήχο, εάν βρίσκεται μακριά από τον ιδιοκτήτη του για πολύ καιρό. Αρχικά το διάστημα αυτό ήταν 3 ημέρες, ενώ πλέον η Apple το έχει ορίσει στις 8-24 ώρες. Προβληματικό είναι ωστόσο ότι η ίδια η ειδοποίηση δεν κρατάει πάνω από 15 δευτερόλεπτα.
Πρόσφατα, η Apple ανακοίνωσε την κυκλοφορία μιας νέας εφαρμογής που ονομάζεται Tracker Detect, την οποία μπορούν να κατεβάζουν οι χρήστες άλλων συσκευών προκειμένου να λαμβάνουν ειδοποιήσεις[8].
Τέλος, η Apple υποστηρίζει ότι κάθε AirTag είναι καταχωρημένο με το Apple ID του κατόχου του, το οποίο η εταιρία μπορεί να διαθέσει στις αρχές -μαζί με τις σχετικές προσωπικές πληροφορίες του.
Συμπεράσματα
Είναι πραγματικά αξιοθαύμαστο το πόσα πλεονεκτήματα μπορεί να προσφέρει η τεχνολογία στη ζωή μας, καθώς και πόσα προβλήματα μπορεί να επιλύσει. Από τα πιο «μικρά» και καθημερινά προβλήματα έως σοβαρότερα και μεγαλύτερου βεληνεκούς. Συγχρόνως όμως, αρκετές φορές παρατηρείται ότι από αυτές τις λύσεις δημιουργούνται καινούργια προβλήματα.
Σίγουρα τα προβλήματα που αναφέρθηκαν είναι αρκετά σημαντικά. Η χρήση συσκευών, όπως τα AirTags, δημιουργεί ζητήματα ιδιωτικότητας και ασφάλειας των ανθρώπων. Ακόμη και αν εμείς οι ίδιοι αποφασίσουμε να μην αγοράσουμε τη συγκεκριμένη συσκευή, το μόνο που καταφέρνουμε είναι εμείς να μην ανιχνεύσουμε άλλους ανθρώπους. Όχι να μην ανιχνευθούμε εμείς.
Είναι αρκετά ενθαρρυντικό το γεγονός ότι η Apple από την πρώτη στιγμή κυκλοφορίας του προϊόντος της προσπαθεί να δημιουργήσει δικλείδες ασφαλείας. Παράλληλα, ζώντας στον κόσμο της πληροφορίας, δεν μπορούμε να αγνοήσουμε τη συνεισφορά των μέσων κοινωνικής δικτύωσης στη διάδοση του συγκεκριμένου γεγονότος και κατ’ επέκταση την επαγρύπνηση άλλων ατόμων.
Ήδη από τις 13 Δεκεμβρίου, η Apple δημοσίευσε στην ιστοσελίδα της σχετικές οδηγίες[9] για τα άτομα που βρίσκουν ένα άγνωστο AirTag ή λαμβάνουν την ειδοποίηση ότι παρακολουθούνται.
Εμείς από την πλευρά μας εξακολουθούμε να παρακολουθούμε τις εξελίξεις, οι οποίες ειδικά στον κόσμο της τεχνολογίας τρέχουν χωρίς να το καταλάβουμε. Με επίκεντρο πάντα τον άνθρωπο και τα δικαιώματά του.
*Η Μιρέλλα Καβαδάκη είναι δικηγόρος και κάτοχος του μεταπτυχιακού τίτλου σπουδών «Εθνική και Ενωσιακή Διοίκηση» του Παντείου Πανεπιστήμιου.
[1] Μέχρι σήμερα έχουν πωληθεί πάνω από 35 εκατομμύρια συσκευές της εταιρίας Tile. Πηγή: https://www.cnbc.com/2021/04/27/apple-airtags-versus-tile-tracker-how-they-compare.html
[2] The Australian Financial Review. Apple’s AirTags are so good they’re scary. Melbourne [Melbourne], 04 May 2021: 19.
[3] https://www.tiktok.com/@angel.edge95/video/7033117374861577477
[4] https://www.nytimes.com/2021/12/30/technology/apple-airtags-tracking-stalking.html
[5] https://www.fastcompany.com/90630404/apple-airtags-could-enable-domestic-abuse-in-terrifying-ways
[6] https://www.washingtonpost.com/technology/2021/05/05/apple-airtags-stalking/
[7] Αξίζει να σημειωθεί ότι βρίσκονται πάνω από 2,5 δισεκατομμύρια ενεργοί χρήστες Android σε όλο τον κόσμο με πάνω από 3 εκατομμύρια συσκευές. Πηγή: https://www.inmobi.com/blog/2021/08/09/understanding-android-users-worldwide
[8] Η εφαρμογή έχει ήδη λάβει αρκετές αρνητικές κριτικές από τους χρήστες, οι οποίοι τονίζουν το γεγονός ότι δεν τους δίνεται η δυνατότητα λειτουργίας στο background. Εν αντιθέσει, για να λάβουν την ειδοποίηση ότι κάποιος τους παρακολουθεί, πρέπει πρώτα να ανοίξουν την εφαρμογή.
Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *
Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.
Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.
Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.
Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:
- τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
- τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
- τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.
Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR, η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.
Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.
ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Επιλογή τρόπου συμμόρφωσης
Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.
Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.
Πρώτη αυτοαξιολόγηση
Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.
Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.
Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.
Ορισμός ομάδας εργασίας
Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».
Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.
Πρώτη γνωστοποίηση στο προσωπικό
Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.
ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Ενδεικτικό Πρόγραμμα Συμμόρφωσης
Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.
Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.
Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.
Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.
Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.
ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις
Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.
Αρχικές εκπαιδεύσεις
Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.
Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων
Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.
Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.
Αρχείο Χαρτογράφησης
Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.
Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.
Αρχείο Δραστηριοτήτων Επεξεργασίας
Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.
Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης
Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.
ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Επόμενες συναντήσεις – επισκέψεις – εκπαιδεύσεις
Στην δεύτερη φάση του προγράμματος συμμόρφωσης, πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.
Ανάλυση Αποκλίσεων
H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.
Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.
Ανάλυση Κινδύνων
Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.
Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.
Μελέτη Αντικτύπου (Data Privacy Impact Analysis)
Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».
Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.
Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.
Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.
ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ
Τελευταίες επισκέψεις και εκπαιδεύσεις
H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.
Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων
Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.
Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.
Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων
Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.
ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ
Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.
Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.
Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.
Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).
Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020
Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
Η Διεθνής Σύμβαση για τα Δικαιώματα του παιδιού έγινε “digital”
Γράφει η Κίρκη Πατσιαντά*
Η Διεθνής Σύμβαση για τα Δικαιώματα του Παιδιού υιοθετήθηκε από τη Γενική Συνέλευση των Ηνωμένων Εθνών το 1989 και μέχρι στιγμής δεσμεύει 196 κράτη, ένα εκ των οποίων είναι και η Ελλάδα (Νόμος 2101/1992).
Θεωρείται η Σύμβαση που χαίρει, διεθνώς, της μεγαλύτερης αποδοχής και περιλαμβάνει το πλήρες φάσμα των δικαιωμάτων – οικονομικών, κοινωνικών, πολιτιστικών, ατομικών και πολιτικών – που πρέπει να απολαμβάνουν τα παιδιά.
Η εν λόγω Σύμβαση θεωρείται “pre-digital”, καθώς, την εποχή που συντάσσονταν, δεν μπορούσε κανείς να φανταστεί την επιρροή που θα είχε ο ψηφιακός κόσμος στη ζωή των παιδιών και έτσι δεν περιλαμβάνει κάποια αναφορά σε αυτόν.
Εντούτοις, το περιεχόμενό της είναι απόλυτα δυναμικό και, συνακόλουθα, πλήρως εφαρμόσιμο στις δυνατότητες και στις προκλήσεις που παρουσιάζει για τα δικαιώματα του παιδιού η ψηφιακή εποχή.
Επιβεβαίωση του γεγονότος αυτού αποτελεί το Γενικό Σχόλιο Ν°25 αναφορικά με τα δικαιώματα των παιδιών στο ψηφιακό περιβάλλον, που υιοθετήθηκε από την Επιτροπή Δικαιωμάτων του Παιδιού τον Μάρτιο του 2021.
Η Επιτροπή Δικαιωμάτων του Παιδιού είναι το όργανο που επιβλέπει την εφαρμογή της Σύμβασης.
Τα κράτη που δεσμεύονται από τη Σύμβαση οφείλουν να υποβάλουν εκθέσεις στην Επιτροπή σχετικά με την κατάσταση των δικαιωμάτων των παιδιών στην επικράτειά τους, προκειμένου η Επιτροπή να τις εξετάσει και να προβεί σε ανάλογες συστάσεις.
Η Επιτροπή δεν μπορεί να επιβάλει κυρώσεις σε κάποιο κράτος σε περίπτωση παραβιάσεων των δικαιωμάτων του παιδιού, αλλά οι διαπιστώσεις της ασκούν πίεση στις κυβερνήσεις και εκθέτουν σε παγκόσμιο επίπεδο τα κακώς κείμενα των κρατών.
Επίσης, η Επιτροπή ερμηνεύει τα δικαιώματα του παιδιού σε σχέση με συγκεκριμένα θέματα υπό τη μορφή Γενικών Σχολίων.
Αυτό ακριβώς έγινε λοιπόν και εδώ. Η Επιτροπή, με ένα ιστορικό και πρωτοποριακό Γενικό Σχόλιο, στη διαβούλευση για τη σύνταξη του οποίου συμμετείχαν 709 παιδιά από 28 χώρες, δηλώνει ρητώς και για πρώτη φορά ότι τα δικαιώματα του παιδιού, όπως κατοχυρώνονται από τη Σύμβαση, έχουν πλήρη εφαρμογή και στο ψηφιακό περιβάλλον.
Με άλλα λόγια, η προώθηση και προστασία των δικαιωμάτων των παιδιών πρέπει να πραγματοποιείται με την ίδια συνέπεια τόσο offline όσο και online.
Το Γενικό Σχόλιο Ν°25 δεν υπογραμμίζει μόνο την αναμφισβήτητη ισχύ των δικαιωμάτων των παιδιών στο ψηφιακό κόσμο.
Είναι παράλληλα ένα μέσο για την αποτελεσματική υλοποίησή τους, υποδεικνύοντας τις κατάλληλες διόδους.
Απευθύνεται στις κυβερνήσεις, που πρέπει να το αντιμετωπίσουν ως τον πρωταρχικό τους σύμβουλο στη διαμόρφωση των σχετικών πολιτικών και νόμων, αλλά και στα ίδια τα παιδιά, στους επαγγελματίες που δουλεύουν με ή για αυτά, στους γονείς και στην κοινωνία γενικότερα, καθώς τους προσφέρει ουσιαστικά εφόδια, για να διεκδικήσουν από το κράτος ένα ψηφιακό περιβάλλον που σέβεται το σύνολο των δικαιωμάτων του παιδιού.
Επιπρόσθετα, τα κράτη, στις εκθέσεις που υποχρεούνται να υποβάλουν στην Επιτροπή, πρέπει να αναφέρονται πλέον στην κατάσταση των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον και να υπόκεινται έτσι στο έλεγχό της.
Στο Γενικό Σχόλιο αναφέρεται και η Στρατηγική της Ευρωπαϊκής Ένωσης για τα δικαιώματα του παιδιού (2021-2024), που υιοθετήθηκε πρόσφατα, αναγνωρίζοντας τη σπουδαιότητά του για την ερμηνεία των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον.
Βασικό χαρακτηριστικό του Γενικού Σχολίου είναι η προσπάθεια επίτευξης ισορροπίας ανάμεσα στην ανάγκη προστασίας των παιδιών από τους κινδύνους που παρουσιάζει για αυτά το διαδίκτυο και στην αναγνώριση των δυνατοτήτων που τους δίνει για την άσκηση των δικαιωμάτων τους.
Ειδικότερα, το Γενικό Σχόλιο αναλύει καταρχάς, υπό το πρίσμα του ψηφιακού κόσμου, τις τέσσερις βασικές αρχές της Σύμβασης:
- το δικαίωμα του παιδιού στη μη διάκριση, που συνεπάγεται την ίση πρόσβαση όλων των παιδιών στο ψηφιακό περιβάλλον και την καταπολέμηση του ψηφιακού αποκλεισμού
- την έννοια του ύψιστου συμφέροντος του παιδιού, που πρέπει να λαμβάνεται πρωτίστως υπόψη σε κάθε ενέργεια σχετική με το σχεδιασμό, τη διαχείριση και τη χρήση του ψηφιακού περιβάλλοντος
- το δικαίωμα του παιδιού στη ζωή, την επιβίωση και την ανάπτυξη, δίνοντας έμφαση στη σημασία που έχει το internet για τα παιδιά σε περιόδους κρίσεων
- το δικαίωμα του παιδιού να εκφράζει ελεύθερα την άποψή του σχετικά με θέματα που το αφορούν, αναγνωρίζοντας την πληθώρα των ευκαιριών που παρέχει σχετικά το διαδίκτυο
Έπειτα, τονίζεται το πόσο σημαντικό είναι να προσαρμόζονται τα μέτρα προστασίας και οι όροι πρόσβασης των παιδιών στο ψηφιακό περιβάλλον στην εξέλιξη των ικανοτήτων τους όσο αυτά μεγαλώνουν και αποκτούν μεγαλύτερη αυτονομία, πράγμα που σημαίνει ότι και οι γονείς τους οφείλουν να μάθουν να σέβονται την ανεξαρτησία των παιδιών τους online, καθώς αυτά ωριμάζουν και εξελίσσονται.
Υποδεικνύοντας τους διάφορες πρακτικές μεθόδους, το Γενικό Σχόλιο καλεί τα κράτη κυρίως:
- να φροντίσουν ότι το ισχύον νομικό πλαίσιο αναφορικά με το ψηφιακό περιβάλλον σέβεται τα δικαιώματα των παιδιών
- να εντάξουν στην εθνική τους στρατηγική για τα δικαιώματα του παιδιού την online διάσταση αυτών
- να ορίσουν έναν κρατικό φορέα που θα ασχολείται με την υλοποίηση των δικαιωμάτων του παιδιού online
- να μεριμνήσουν για την παροχή επιμόρφωσης στα δικαιώματα του παιδιού στο ψηφιακό περιβάλλον στους επαγγελματίες που εργάζονται με ή για τα παιδιά, σε όσους εργάζονται στον επιχειρηματικό τομέα και στη βιομηχανία της τεχνολογίας
- να εξασφαλίσουν ότι οι επιχειρήσεις σέβονται τα δικαιώματα του παιδιού στο διαδίκτυο
- να λαμβάνουν πρωτίστως υπόψη το συμφέρον των παιδιών, όταν θέτουν τους κανόνες που διέπουν τις online διαφημίσεις που τα αφορούν
- να προβλέψουν κατάλληλες δικαστικές και εξωδικαστικές διόδους για την καταγγελία παραβιάσεων των δικαιωμάτων των παιδιών στο ψηφιακό περιβάλλον
- να εγγυηθούν στον ψηφιακό κόσμο το δικαίωμα του παιδιού στην ελευθερία της έκφρασης και στην πρόσβαση σε πληροφορίες, το δικαίωμά του για ελευθερία σκέψης, συνείδησης και θρησκείας, το δικαίωμα του να συνεταιρίζεται και να συνέρχεται ειρηνικά
- να διαφυλάξουν την ιδιωτική ζωή και τα δεδομένα προσωπικού χαρακτήρα των παιδιών στο ψηφιακό περιβάλλον
- να προστατέψουν τα παιδιά από κάθε μορφή εκμετάλλευσης και βίας στο διαδίκτυο
- να εξασφαλίσουν την ψηφιακή μόρφωση των γονιών
- να φροντίσουν για την ουσιαστική υλοποίηση online του δικαιώματος του παιδιού στην υγεία, στην εκπαίδευση, στο παιχνίδι
- να υιοθετήσουν παιδοκεντρική προσέγγιση σε ζητήματα σχετικά με την ψηφιακή τεχνολογία στο πλαίσιο της δικαιοσύνης ανηλίκων (π.χ. χρήση λογισμικού αναγνώρισης προσώπου σε παιδιά ύποπτα για τη διάπραξη αδικημάτων)
Η προάσπιση των δικαιωμάτων του παιδιού offline είναι ήδη άκρως απαιτητική αποστολή. Η ψηφιακή της διάσταση φαίνεται ακόμα πιο περίπλοκη. Ωστόσο, έχουμε πια πολύτιμες κατευθυντήριες αρχές να λάβουμε υπόψη όλοι μας. Και δεν πρέπει να αργήσουμε να το κάνουμε.
*Η Κίρκη Πατσιαντά είναι δικηγόρος, Δ.Ν., με ειδίκευση στο Ευρωπαϊκό Δίκαιο Δικαιωμάτων του Ανθρώπου. Ασχολείται ιδιαίτερα με τα δικαιώματα του παιδιού τόσο ερευνητικά όσο και στην πράξη.
Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο
Γράφει ο Ευάγγελος Φαρμακίδης*
Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.
Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.
Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.
Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.
Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.
Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.
Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.
Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.
Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.
Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.
Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).
Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.
Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).
Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.
Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.
Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.
Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.
Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.
Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.
Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.
Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.
Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.
*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.
"Σκέφτομαι και γράφω" στο Facebook
Μια ματιά στα τελευταία περιστατικά λογοκρισίας στο διαδίκτυο και στα ερωτήματα που αναδύονται από αυτά
Γράφουν οι Μιρέλλα Καβαδάκη* και Αιμιλία Γιβροπούλου**
Το τελευταίο χρονικό διάστημα έχει παρατηρηθεί ότι το Facebook προβαίνει σε μία σειρά μέτρων, όπως η αφαίρεση δημοσιεύσεων ορισμένων χρηστών ή ο περιορισμός χρήσης του μέσου.
Η πρακτική αυτή από πλευράς Facebook έχει ως κοινό παρονομαστή την αναφορά στις δημοσιεύσεις ενός συγκεκριμένου ονόματος: του Δημήτρη Κουφοντίνα. Πιο συγκεκριμένα, ενώ για το ζήτημα της απεργίας πείνας του εν λόγω προσώπου έχει τοποθετηθεί και έχει λάβει θέση πλήθος κόσμου και θεσμικών φορέων), το Facebook επέβαλε αυτούς τους περιορισμούς σε αρκετούς χρήστες που μίλησαν για το θέμα, μεταξύ αυτών δημοσιογράφοι, δικηγόροι και καλλιτέχνες.
Μετά την αντίδραση του κόσμου και την πληθώρα των περιστατικών, που αφορούσαν διάφορους περιορισμούς σε χρήστες, η Facebook εξέδωσε ανακοίνωση αναγνωρίζοντας ουσιαστικά όχι μόνο το λάθος της, αλλά και τα ελλείμματα, που αναδείχθηκαν ως προς τον έλεγχο του περιεχομένου (content moderation) που ακολουθεί.
Να υπενθυμίσουμε, ότι πριν από λίγες μόνο ημέρες μεγάλη αναστάτωση είχε εκδηλωθεί, κυρίως από τομέα της τέχνης σχετικά με το Άρθρο 8 του Νόμου 4779/2021, ο οποίος αφορά στην ενσωμάτωση της Ευρωπαϊκής Οδηγίας 2018/1808 σχετικά με την παροχή υπηρεσιών οπτικοακουστικών μέσων.
Το εν λόγω άρθρο ορίζει ότι “Οι υπηρεσίες οπτικοακουστικών μέσων δεν πρέπει να εμπεριέχουν υποκίνηση σε βία ή μίσος εναντίον ομάδας ανθρώπων ή μέλους ομάδας που προσδιορίζεται με βάση τα χαρακτηριστικά της φυλής, το χρώμα, την εθνική ή εθνοτική καταγωγή, τις γενεαλογικές καταβολές, τη θρησκεία, την αναπηρία, τον γενετήσιο προσανατολισμό, την ταυτότητα ή τα χαρακτηριστικά φύλου.”
Με άλλα λόγια, υπηρεσίες, όπως το Facebook αλλά και οποιαδήποτε μικρότερη υπηρεσία στο διαδίκτυο, απαγορεύεται να φιλοξενεί αντίστοιχο περιεχόμενο, με τις κυρώσεις του Άρθρου 36 να επιβάλλονται σε περίπτωση μη συμμόρφωσης.
Αντίστοιχοι προβληματισμοί δημιουργήθηκαν επίσης όταν το Twitter με απόφασή του έκλεισε προσωρινά τον λογαριασμό του απερχόμενου Αμερικανού Προέδρου Donald Trump “λόγω του κινδύνου περαιτέρω υποκίνησης βίας” και αντιδημοκρατικών πράξεων, κάτι που απαγορεύεται από τους όρους χρήσης της υπηρεσίας.
Πέρα από τις διάφορες απόψεις επί του προσώπου και των απόψεων του πρώην προέδρου, η απόφαση απενεργοποίησης ενός λογαριασμού χρήστη και η αφαίρεση του δικαιώματος έκφρασης μέσω αυτού γεννά πολλά ερωτήματα γύρω από την δύναμη της εκάστοτε διαδικτυακής υπηρεσίας.
Το θέμα αυτό δεν είναι καινούριο. Τα τελευταία χρόνια πολλές φωνές από την κοινωνία των πολιτών και όχι μόνο, εκφράζουν την ανησυχία τους σχετικά με την δύναμη των διαδικτυακών πλατφόρμων και την αυθαιρεσία αυτών.
Επιπρόσθετα, έντονες αντιδράσεις έχουν εκφραστεί σχετικά με την υπέρμετρη επιβάρυνση των υπηρεσιών αυτών με αυστηρές υποχρεώσεις και κυρώσεις από το νόμο όπως επίσης και με την μετατόπιση της ευθύνης της επιβολής του νόμου από τις ανεξάρτητες δικαστικές αρχές προς τις υπηρεσίες αυτές (“αυτορρύθμιση”).
Ως αποτέλεσμα των ρυθμίσεων αυτών, οι διαδικτυακές υπηρεσίες μπορούν να λειτουργούν ως “αστυνομία του διαδικτύου” και να αποφασίζουν τι θα εμφανίζεται και τι όχι στο διαδίκτυο, όχι βάσει του νόμου αλλά των Όρων Χρήσης που η κάθε μία επιβάλει και ακολουθεί.
Οι Όροι Χρήσης της εκάστοτε διαδικτυακής πλατφόρμας αντικατοπτρίζουν το “μοντέλο υπηρεσιών” που αποφασίζουν να παρέχουν δρώντας στα πλαίσια της “επιχειρηματικής ελευθερίας”, που αποτελεί αναπόσπαστο μέρος των θεμελιωδών δικαιωμάτων του ανθρώπου.
Ειδικότερα, το Facebook, όπως και κάθε ιδιωτική επιχείρηση, έχει το δικαίωμα να διαχειρίζεται ελεύθερα και όπως αυτό επιθυμεί την επιχείρησή του. Ένα κομμάτι αυτής της διαχείρισης αποτελούν και οι προκαθορισμένοι Όροι Χρήσης της ιστοσελίδας, η αποδοχή των οποίων συνιστά τυπική προϋπόθεση για την εγγραφή των χρηστών.
Η ύπαρξη των όρων χρήσης στο διαδίκτυο όχι μόνο είναι εύλογη, αλλά καθίσταται και απαραίτητη, για παράδειγμα σε περιστατικά υποκίνησης μίσους, βίας και τέλεσης εγκλημάτων.
Το ερώτημα όμως είναι μέχρι πού φτάνει η επιχειρηματική ελευθερία και πού αρχίζει ο περιορισμός της ελευθερίας της έκφρασης.
Σε αρκετές περιπτώσεις παράνομου περιεχομένου ή δραστηριότητας η απόφαση φαίνεται να είναι σχετικά ευκολότερη, όπως για παράδειγμα στις περιπτώσεις περιεχομένου σεξουαλικής κακοποίησης ανηλίκων. Σε αρκετές περιπτώσεις όμως η διάκριση αυτή είναι δυσχερής.
Δεν εξουσιοδοτείται το Facebook, ή το οποιοδήποτε Facebook, να κρίνει και να αποφασίζει σχετικά με πράξεις ή αναρτήσεις για τον παράνομο χαρακτήρα τους. Η απόφαση επί του “παράνομου” γίνεται από τα Δικαστήρια που ορίζουν και τις αντίστοιχες κυρώσεις, όπως για παράδειγμα στις περιπτώσεις συκοφαντίας, δυσφήμισης, εξύβρισης ή ακόμα και παραβίασης της πνευματικής ιδιοκτησίας.
Αντίστοιχους προβληματισμούς είχαμε εκφράσει όσον αφορά στη μεταρρύθμιση της πνευματικής ιδιοκτησίας βάσει της Οδηγίας 2019/790. Το άρθρο 17 της τελευταίας αναθέτει αυστηρές ευθύνες στις πλατφόρμες με σκοπό να τις αποτρέψουν από τη φιλοξενία περιεχομένου που παραβιάζει τα πνευματικά δικαιώματα, με αντίστοιχη ποινή κυρώσεων σε περίπτωση μη συμμόρφωσης.
Ως αποτέλεσμα των ανωτέρω ρυθμίσεων αλλά και της γενικότερης αυστηρής μεταχείρισης των διαδικτυακών υπηρεσιών και των υποχρεώσεων τους, είναι φανερό ότι οι τελευταίες ωθούνται στην αυτορρύθμιση, όπως αναφέραμε και παραπάνω, και τείνουν να αφαιρούν αμφιλεγόμενο περιεχόμενο προς αποφυγή δυσμενών κυρώσεων.
Λόγω της εν δυνάμει επικινδυνότητας του περιεχομένου, ορισμένες πλατφόρμες προβαίνουν στη χρήση “φίλτρων” που αναγνωρίζουν το αμφιλεγόμενο περιεχόμενο και είτε ειδοποιούν τον χρήστη που το αναφόρτωσε είτε μπλοκάρουν το περιεχόμενο απευθείας.
Παράλληλα με τη χρήση των μέσων αυτών πολλές εταιρείες χρησιμοποιούν και ανθρώπινο δυναμικό για τον εντοπισμό και αφαίρεση περιεχομένου.
Κάτι τέτοιο επιβεβαιώνεται και από την ανακοίνωση που εξέδωσε η Facebook, η οποία αναφέρει ότι απασχολεί 15.000 επιμελητές περιεχομένου (content moderators), που εδρεύουν σε περιοχές σε όλο τον κόσμο. Όπως μέλος μας είχε αναφέρει και αναδείξει στο παρελθόν, αντίστοιχο κέντρο ελέγχου της Facebook λειτουργεί και στην Ελλάδα.
Λαμβάνοντας υπόψιν τα ανωτέρω είναι σημαντικό να υπενθυμίσουμε ότι τα πρόσφατα περιστατικά με αφορμή τις αναρτήσεις σχετικά με τον Δημήτρη Κουφοντίνα δεν είναι μεμονωμένα ούτε πρωτόγνωρα. Αντίστοιχες τάσεις έχουν παρατηρηθεί σε πληθώρα διαδικτυακών υπηρεσιών και για ποικιλία περιεχομένου και δραστηριότητας.
Πιο συγκεκριμένα, ανά διαστήματα έχουν χαρακτηριστεί ότι παραβιάζουν τους Όρους Χρήσης πίνακες ζωγραφικής ή φωτογραφίες, που απεικονίζουν παιδιά που βιώνουν τη φρίκη του πολέμου, επειδή περιέχουν γυμνό. Αυτές οι πρακτικές εμφανώς δημιούργησαν πλήθος αντιδράσεων, κάνοντας λόγο για λογοκρισία και αυθαίρετη αφαίρεση περιεχομένου.
Η κατάσταση φαίνεται να επαναλαμβάνεται και να οδηγεί πολλούς χρήστες σε αδιέξοδο. Σύμφωνα με πρόσφατες εμπειρίες και καταγγελίες χρηστών, οι μεγάλες διαδικτυακές υπηρεσίες, όχι μόνο αφαιρούν το εκάστοτε αμφιλεγόμενο περιεχόμενο ή απενεργοποιούν λογαριασμούς χρηστών, αλλά προβαίνουν στην πράξη αυτή χωρίς να τους ενημερώνουν και επιπρόσθετα στερώντας τους το δικαίωμα για επικοινωνία και έκκληση για αποκατάσταση.
Η δύναμη αυτή και η αυθαιρεσία από πλευράς των μεγάλων υπηρεσιών φαίνεται ανεξέλεγκτη και η ισχύουσα νομοθεσία μη αποτελεσματική. Πέρα από τις προσπάθειες των Ευρωπαίων νομοθετών να “δαμάσουν” τα θηρία του διαδικτύου μέσα από τομεακή νομοθεσία (π.χ για τα πνευματικά δικαιώματα, για τις υπηρεσίες οπτικοακουστικών μέσων, για τη σχέση ανάμεσα σε πλατφόρμες και επιχειρήσεις στην ψηφιακή αγορά κ.ο.κ), η συνεχής εξέλιξη της τεχνολογίας και η αύξηση χρήσης των υπηρεσιών αυτών τις ενισχύουν και καθιστούν την ισχύουσα νομοθεσία παρωχημένη.
Το έλλειμμα αυτό έχει διαγνωστεί και οι ευρωπαίοί νομοθέτες έχουν κινητοποιηθεί για ακόμη μια φορά.
Τον περασμένο Δεκέμβριο η Ευρωπαϊκή Επιτροπή δημοσίευσε την πρότασή της για Κανονισμό (2020/825) σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών (πράξη για τις ψηφιακές υπηρεσίες) και την τροποποίηση της οδηγίας 2000/31/ΕΚ, καθώς επίσης και την πρότασή της για Κανονισμό (2020/842) σχετικά με διεκδικήσιμες και δίκαιες αγορές στον ψηφιακό τομέα (πράξη για τις ψηφιακές αγορές) με στόχο των εκσυγχρονισμό της ισχύουσας νομοθεσίας.
Η πρώτη πρόταση αφορά στην ρύθμιση του πλαισίου κανόνων της ηλεκτρονικής αγοράς, ενώ η δεύτερη εστιάζει σε μεγάλες εταιρείες που παρέχουν τις υπηρεσίες τους στο διαδίκτυο, όπως η Facebook, και στην εξασφάλιση ισορροπίας και υγιούς ανταγωνισμού.
Στην πρώτη, η Ευρωπαϊκή Επιτροπή προτείνει “υποχρεώσεις δέουσας επιμέλειας για ένα διαφανές και ασφαλές επιγραμμικό περιβάλλον” συμπεριλαμβανομένων, πέρα από την υποχρέωση διαφάνειας, υποχρεώσεων για ορισμό νόμιμων εκπροσώπων, σημείων επικοινωνίας, αλλά και εύκολα προσβάσιμων και κατανοητών όρων χρήσης.
Περαιτέρω, οι επιγραμμικοί πάροχοι οφείλουν να θέτουν σε εφαρμογή μηχανισμούς ειδοποίησης και δράσης “ώστε να διευκολύνουν την υποβολή επαρκώς ακριβών και αρκούντως τεκμηριωμένων ειδοποιήσεων” όσον αφορά σε αμφιλεγόμενο περιεχόμενο.
Οι πάροχοι υποχρεούνται να εξετάσουν την ειδοποίηση και οφείλουν να συνοδεύσουν την εκάστοτε απόφασή τους με σαφή αιτιολόγηση.
Η πρόταση της Επιτροπής αποτελεί μια θετική εξέλιξη στον τομέα της ψηφιακής πολιτικής και θέτει ισχυρες βάσεις για τις διαπραγματεύσεις που θα ακολουθήσουν τους επόμενους μήνες ανάμεσα στους ΕυρωπαΪκούς νομοθέτες. Η Homo Digitalis και τα μέλη της θα παρακολουθήσουν στενά τις εξελίξεις.
Εν κατακλείδι, τα τελευταία γεγονότα έφεραν στην επιφάνεια ένα ζήτημα που ούτε είναι καινούριο και ούτε πρόκειται να σταματήσει να μας απασχολεί άμεσα.
Το διαδίκτυο μας δίνει τη δυνατότητα να επικοινωνήσουμε χωρίς τοπικούς και χρονικούς περιορισμούς. Το μέγεθος των πληροφοριών που αναφορτώνονται και επεξεργάζονται είναι υπέρογκο και η διαχείρισή τους καθίσταται αρκετά δύσκολη, με αποτέλεσμα οι αλγόριθμοι να αποφασίζουν για το τι θα εμφανιστεί και πώς στον εκάστοτε χρήστη. Όσο εύκολη όμως είναι η μετάδοση του μηνύματος, τόσο εύκολη είναι και η αποσιώπησή του.
Προφανώς, όταν δίνεται εντολή στον αλγόριθμο να διαγράφει αναρτήσεις που περιλαμβάνουν τη λέξη “Κουφοντίνας”, αυτός θα εκτελεί τη συγκεκριμένη εντολή χωρίς σκέψη, αφού η εταιρεία -εν προκειμένω η Facebook- προβλέπει συγκεκριμένες πολιτικές για τα “Επικίνδυνα άτομα και Οργανώσεις”.
Μία δημοσίευση όμως που απλώς αναφέρεται στο συγκεκριμένο όνομα και δεν περιλαμβάνει κάποια τοποθέτηση υπέρ του, ή ακόμη περισσότερο μία δημοσίευση που τοποθετείται ως προς το ζήτημα της επιβολής του νόμου στη συγκεκριμένη περίπτωση, πώς παραβιάζει ακριβώς τις πολιτικές αυτές;
Πρέπει να αναγνωρίσουμε ότι το Facebook αποτελεί μία από τις πιο μαζικές πλατφόρμες μέσων κοινωνικής δικτύωσης, μετρώντας δισεκατομμύρια χρήστες.
Σήμερα, οι άνθρωποι χρησιμοποιούν το Facebook όχι μόνο σαν μέσο κοινωνικοποίησης, αλλά και σαν μέσο πληροφόρησης και διάδοσης πληροφοριών. Για το λόγο αυτό, τέτοια περιστατικά προκαλούν αντιδράσεις κάνοντας ολοένα και περισσότερους χρήστες να καταγγέλλουν το Facebook για λογοκρισία.
Επομένως, αυτές οι υπηρεσίες δε γίνεται να εναποθέτουν τον έλεγχο του περιεχομένου της πλατφόρμας μόνο σε συστήματα τεχνητής νοημοσύνης (“ΑΙ”), αλλά χρειάζεται παράλληλα -ειδικά για διφορούμενα περιστατικά- η ανθρώπινη παρέμβαση, έχοντας κατάλληλη εκπαίδευση και γνώσεις όσον αφορά τους όρους χρήσης και τους νόμους.
Έτσι, θα μπορεί ο έλεγχος να γίνεται σε ένα επίπεδο πιο ουσιαστικό και να μην αρκείται σε μία λέξη μόνο ή σε μία φωτογραφία με γυμνό, διασφαλίζοντας παράλληλα τη διαφάνεια όλης της διαδικασίας αφαίρεσης περιεχομένου και επιβολής περιορισμών.
Τέλος, θα μπορούσε να προβλεφθεί η υποχρέωση ειδοποίησης του χρήστη, τόσο ως προς το “παράνομο” περιεχόμενο όσο και ως προς τα δικαιώματά του, και η παροχή ικανοποιητικού χρονικού διαστήματος για αντίδραση αυτού. Κατ’ αυτόν τον τρόπο θεωρούμε ότι ενδέχεται να μειωθούν τα περιστατικά αυθαίρετης αφαίρεσης περιεχομένου.
Όσο προχωράει και εξελίσσεται η τεχνολογία, όσο περισσότερο μπαίνει στις ζωές μας και αποτελεί κομμάτι της καθημερινότητάς μας, τόσο θα γεννιούνται καινούργια ερωτήματα και ζητήματα, που μέχρι πρότινος είχαμε έτοιμες και απλές απαντήσεις.
Ίσως έχει έρθει η ώρα λοιπόν να απαντήσουμε και στο ερώτημα που τέθηκε προ ημερών: Έχει δικαίωμα το Facebook να λογοκρίνει; Και αν ναι, με ποια κριτήρια; Εγώ ποιά δικαιώματα έχω ενάντια στη λογοκρισία; Πού να απευθυνθώ; Δεν έχουμε παρά να αναμένουμε τις απαντήσεις και τις νέες ρυθμίσεις, όπως αυτές διαπραγματεύονται τη δεδομένη στιγμή από τα Ευρωπαϊκά θεσμικά όργανα, ενώ παράλληλα παραμένουμε ενημερωμένοι για τα ψηφιακά μας δικαιώματα.
*Η Μιρέλλα Καβαδάκη είναι απόφοιτη της Νομικής Σχολής Αθηνών, ασκούμενη δικηγόρος ΔΣΑ και μεταπτυχιακή φοιτήτρια Ενωσιακού και Δημοσίου Δικαίου στο Πάντειο Πανεπιστήμιο. Ενδιαφέρεται ιδιαιτέρως για τα ανθρώπινα δικαιώματα στην ψηφιακή εποχή και ασχολείται με την προστασία των προσωπικών δεδομένων και την τεχνητή νοημοσύνη.
**Η Αιμιλία Γιβροπούλου είναι απόφοιτη της Νομικής Σχολής Κομοτηνής και κάτοχος του μεταπτυχιακού τίτλου σπουδών (Internet Law and Policy LLM) από το Πανεπιστήμιο Strathclyde της Γλασκώβης. Ασχολείται ενεργά με την ψηφιακή πολιτική και τη σχέση της με τα ανθρώπινα δικαιώματα με ιδιαίτερη έμφαση στην ελευθερία της έκφρασης και την προστασία των προσωπικών δικαιωμάτων και του απορρήτου.
Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR)
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc **
Πέρασαν κάτι λιγότερο από 3 χρόνια αφότου ξεκίνησε η εφαρμογή του νέου ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“) και η πλειοψηφία των επιχειρήσεων, μικρών και μεγάλων, θα έπρεπε ήδη να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται.
Ειδικότερα για τις μικρομεσαίες επιχειρήσεις, άσχετα από την απαίτηση ή όχι για διορισμό ενός υπεύθυνου προστασίας δεδομένων (“DPO“), αφού αυτό εξαρτάται από το α) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών – προσωπικού – προμηθευτών – συνεργατών σε μεγάλη κλίμακα ή β) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, μια επιχείρηση οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση, συστήνεται η υλοποίηση μιας – κατ΄ελάχιστον – λίστας προληπτικών ενεργειών.
Ενδεικτικά, αλλά όχι περιοριστικά:
- Δημιουργία ενός αρχείου δραστηριοτήτων με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείριση (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.
- Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.
- Ορισμένες γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.
- Ανάλογα με το είδος και την δραστηριότητα της επιχείρησης, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους που θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά των πελατών όσον αφορά την προστασία των δεδομένων, το δικαίωμά των πελατών να υποβάλουν καταγγελία κλπ.
- Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων (ίδια δομή με το έντυπο ενημέρωσης πελάτη) και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την ορθολογική χρήση των εταιρικών δεδομένων.
- Στην περίπτωση των προμηθευτών και των εξωτερικών συνεργατών, απαίτηση για υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες: α) της μισθοδοσίας του προσωπικού, β) της ασφάλισης του προσωπικού, γ) της λογιστικής υποστήριξης της επιχείρησης, δ) της μηχανογραφικής υποστήριξης, ε) της διαχείρισης της εταιρικής ιστοσελίδας ή/και των social media, στ) της συντήρησης του εξοπλισμού, ζ) της καθαριότητας των υποδομών, η) της φύλαξης των υποδομών και θ) τυχόν λοιπές συνεργασίες με συμβούλους.
- Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), α) ενημέρωση των υποκειμένων με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών και β) τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός 15 ημερών, προστασία µονάδας ελέγχου του κυκλώµατος (καταγραφικό) το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.
- Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.
- Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή sms marketing από την επιχείρηση, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).
Ειδικότερα ως προς την φυσική ασφάλεια, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:
*ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,
* εγκατάσταση συστήματος συναγερμού και αλλαγή κωδικών σε περίπτωση αποχώρησης προσωπικού που τους γνώριζε,
* εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),
* αλλαγή κλειδαριών σε περίπτωση αποχώρησης προσωπικού που χειριζόταν τα κλειδιά,
* κλείδωμα όλων των θυρών και παραθύρων πριν την αποχώρηση από την επιχείρηση κλπ.
Ως προς την ασφάλεια της ηλεκτρονικής πληροφορίας, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:
* εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),
* αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο,
* περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων,
* διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης,
* λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.
Ως προς τις διαβιβάσεις πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:
* προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας),
* μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.
Συμπερασματικά, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.
** Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική, DPO στον Ιατρικό Σύλλογο Θεσσαλονίκης, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR και αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.
Πηγές:
- Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
- Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
- Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Ο∆ΗΓΙΑ 1/2011, Αριθ. Πρωτ. Γ/ΕΞ/2274/31.03.2011, Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών.
- Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
- https://ec.europa.eu/info/sites/info/files/data-protection-overview-citizens_el.pdf, ΕΝΑΣ ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΊΤΗ ΓΊΑ ΤΗΝ ΠΡΟΣΤΑΣΊΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ, Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2018
Το δικαίωμα να αποσυνδεθείς από την τηλεργασία
Γράφουν οι Βανέσα Ματσούκα* και Κωνσταντίνος Κακαβούλης**
«Έτοιμα τα ποπ κορν;»
«Ναι, βάλε την ταινία».
Ο Δημήτρης πάτησε το play και πήρε τη θέση του στον καναπέ. Η Αγγελική έκατσε δίπλα του. Είχαν πολλές μέρες να κάνουν κάτι οι δυό τους, καθώς δουλεύουν πολλές ώρες, ακόμα και μέσα στην καραντίνα. Ήταν 10 η ώρα, Παρασκευή βράδυ, και επιτέλους μπορούσαν να απολαύσουν μια ταινία μαζί.
Με το που ξεκίνησαν οι τίτλοι αρχής, εμφανίστηκε ειδοποίηση στο laptop του Δημήτρη. E-mail από το manager του. Η Αγγελική δυσανασχέτησε. Ο Δημήτρης προσποιήθηκε ότι δεν έγινε τίποτα και την πήρε αγκαλιά.
Ένα τέταρτο αργότερα, το κινητό του δονήθηκε. Μήνυμα από το manager του. Ο Δημήτρης σηκώθηκε. Ζήτησε συγγνώμη και είπε ότι έπρεπε να απαντήσει.
Η Αγγελική δυσανασχέτησε πιο έντονα. Είχαν ήδη δουλέψει 10 ώρες εκείνη την ημέρα και δούλευαν ασταμάτητα τον τελευταίο καιρό. Δεν μπορούσαν να έχουν λίγο χρόνο για τους εαυτούς τους;
«Αν δεν είχαμε lockdown και δούλευες κανονικά από το γραφείο, τέτοια ώρα δε θα ήμασταν έξω για ποτό ή σινεμά;»
Ο Δημήτρης δεν ήξερε τι να πει.
«Αν ήμασταν έξω για ποτό, θα απαντούσες στα emails σου;», τον ρώτησε η Αγγελική.
Ο Δημήτρης παρέμεινε άφωνος κοιτάζοντας μία το κινητό του και μία την Αγγελική.
«Και αν είχαμε πάει σινεμά, θα το είχες κλείσει. Άρα γιατί τώρα να πρέπει να απαντήσεις;», επέμεινε η κοπέλα του.
«Μα τώρα είμαστε σπίτι και το ξέρει ότι είμαι σπίτι. Ξέρει ότι έχω πρόσβαση στο κινητό και το λάπτοπ μου συνέχεια», βρήκε το θάρρος να πει ο Δημήτρης.
«… και αυτό δηλαδή σημαίνει ότι πρέπει να απαντάς στα emails της δουλειάς 4 ώρες αφού έχει τελειώσει το ωράριό σου;»
Η Αγγελική είχε δίκιο. Αν βρισκόταν σε κάποια άλλη χώρα, ο Δημήτρης ίσως είχε κατοχυρωμένο δικαίωμα να μην διαβάσει, απαντήσει ή ασχοληθεί με οποιοδήποτε email ή μήνυμα λάμβανε από τη δουλειά του μετά το τέλος του ωραρίου εργασίας του.
Η μη κατοχύρωση του δικαιώματος στην αποσύνδεση από την εργασία συνδέεται με περισσότερες ώρες δουλειάς, και φυσικά με περισσότερες ώρες μπροστά από κάποια οθόνη. Δεν αφορά μόνο τους ανθρώπους που δουλεύουν με τηλεργασία λόγω της πανδημίας, αλλά και όλους εκείνους που δουλεύουν με τηλεργασία σε μόνιμη βάση.
Στη Γαλλία και στην Ιταλία το «δικαίωμα να αποσυνδέεσαι» (‘the right to disconnect’) είναι ήδη κατοχυρωμένο με εθνικούς νόμους από το 2017. Σε χώρες όπως η Γερμανία, παρότι δεν υπάρχει σχετική νομοθεσία, πολλές εταιρείες έχουν εντάξει το σχετικό δικαίωμα στις εσωτερικές τους πολιτικές. Μάλιστα, το 2013 το Γερμανικό Υπουργείο Εργασίας απαγόρευσε στους προϊσταμένους του Υπουργείου να στέλνουν μηνύματα και emails στους εργαζομένους του Υπουργείου εκτός ωραρίου εργασίας.
Το δικαίωμα να αποσυνδέεσαι σημαίνει πρακτικά ότι ο εργαζόμενος δικαιούται να αποσυνδεθεί πλήρως από οποιονδήποτε εταιρικό λογαριασμό email ή από οποιαδήποτε εφαρμογή χρησιμοποιεί η εταιρεία ή ο οργανισμός, στον οποίο εργάζεται, όταν δεν βρίσκεται εντός του ωραρίου εργασίας του. Αντίστοιχα, ο εργοδότης του δεν μπορεί να έχει καμία απαίτηση ο εργαζόμενος να διαβάσει ή να απαντήσει σε οποιοδήποτε μήνυμα λάβει εκτός του ωραρίου εργασίας του.
Περισσότερο από το 1/3 των πολιτών της Ευρωπαϊκής Ένωσης εργάζονται πλέον από το σπίτι εξαιτίας της πανδημίας του κορονοϊού. Εξαιτίας του γεγονότος αυτού, είναι πλέον εμφανές ότι η προστασία των εργασιακών δικαιωμάτων απαιτεί νέες ρυθμίσεις. Στην κατεύθυνση αυτή, οι Ευρωβουλευτές με απόφαση της Ολομέλειας του Ευρωπαϊκού Κοινοβουλίου ζήτησαν πρόσφατα από την Ευρωπαϊκή Επιτροπή να προτείνει μια Ευρωπαϊκή Οδηγία, η οποία θα ανανεώνει το πλαίσιο της τηλεργασίας στην ΕΕ και θα κατοχυρώνει το «δικαίωμα να αποσυνδέεσαι». Η πρόταση της Ευρωπαϊκής Επιτροπής αναμένεται με μεγάλο ενδιαφέρον.
Η μη κατοχύρωση του δικαιώματος στην αποσύνδεση από την εργασία συνδέεται με περισσότερες ώρες δουλειάς, συνεπώς και περισσότερες ώρες μπροστά από κάποια οθόνη. Δεν αφορά μόνο τους ανθρώπους που δουλεύουν με τηλεργασία λόγω της πανδημίας, αλλά και όλους εκείνους που δουλεύουν με τηλεργασία σε μόνιμη βάση. Η πίεση που δημιουργείται από τους εργοδότες να είμαστε διαρκώς διαθέσιμοι και προσβάσιμοι επειδή εργαζόμαστε από το σπίτι έχει συνέπειες για τον εργαζόμενο και κατ’ επέκταση και την εταιρία. Όταν κάποιος είναι διαθέσιμος διαρκώς, αναμφίβολα θα οδηγηθεί στο burnout ενώ η αποδοτικότητά του θα είναι πολύ χαμηλή.
Οι αρνητικές συνέπειες της πολύωρης χρήσης των οθονών είναι γνωστές, από τα μυοσκελετικά προβλήματα ως τα αρνητικά συναισθήματα που μπορεί να προκληθούν. Η παραγωγική σκέψη είναι εκείνο το χαρακτηριστικό που οι περισσότεροι εργοδότες αναζητούν από το προσωπικό τους και η οποία αναπτύσσεται όταν κανείς είναι αποσυνδεδεμένος και ασχολείται με άλλες δραστηριότητες, εκτός δουλειάς. Οι πιο παραγωγικές χώρες της Ευρώπης, το Λουξεμβούργο, η Νορβηγία και η Ιρλανδία, έχουν εφαρμόσει το πιο “απλό” μοντέλο εργασίας και φαίνεται ότι έχουν βρει τον τρόπο που ωφελεί και τις δύο πλευρές. Ανακάλυψαν ότι οι ώρες που αφιερώνουμε στην εργασία μας είναι πιο σημαντικό να είναι αποδοτικές και να είμαστε συγκεντρωμένοι, παρά να είναι αριθμητικά πολλές. Μάλιστα, φαίνεται ότι πολλές πολυεθνικές έχουν ξεκινήσει να υποστηρίζουν το δικαίωμα στην αποσύνδεση δοκιμάζοντας ένα μοντέλο συνδυαστικής εργασίας σε μακροπρόθεσμη βάση.
Ίσως το δικαίωμα να αποσυνδέεσαι κατοχυρωθεί σύντομα και στη χώρα μας. Το νέο νομοσχέδιο που ετοιμάζει το ελληνικό Υπουργείο Εργασίας για την τηλεργασία, καθώς και η σχετική ευρωπαϊκή Οδηγία, που θα προτείνει σύντομα η Ευρωπαϊκή Επιτροπή, μπορεί να δώσουν στο Δημήτρη το δικαίωμα να απολαμβάνει ανενόχλητος την ταινία του με την Αγγελική την Παρασκευή το βράδυ και να σε όλους μας τη δυνατότητα να εργαζόμαστε από το σπίτι με λιγότερο άγχος και να απολαμβάνουμε τον ελεύθερο χρόνο μας.
Το άρθρο δημιουργήθηκε από κοινού από την ομάδα της Homo Digitalis & του Digital Detox Experience.
*Η Βανέσα Ματσούκα είναι ιδρύτρια του Digital Detox Experience.
**Ο Κωνσταντίνος Κακαβούλης είναι δικηγόρος και συνιδρυτής της Homo Digitalis.