Τι είναι η Ομομορφική Κρυπτογράφηση;
Γράφει ο Αναστάσιος Αραμπατζής*
Κάθε μέρα επιχειρήσεις, οργανισμοί και υπηρεσίες χειρίζονται πολλές ευαίσθητες πληροφορίες, όπως προσωπικά και χρηματοοικονομικά δεδομένα, τα οποία πρέπει να κρυπτογραφούνται τόσο όταν αποθηκεύονται όσο και κατά τη μετάδοσή τους.
Αν και το «σπάσιμο» των σύγχρονων αλγορίθμων κρυπτογράφησης απαιτεί πολύ μεγάλη επεξεργαστική ισχύ, το οποίο καθιστά την όλη διαδικασία πολύ δαπανηρή και χρονοβόρα για να είναι εφικτή (τουλάχιστον μέχρι την έλευση της κβαντικής υπολογιστικής), είναι επίσης αδύνατο να επεξεργαστούμε τα δεδομένα χωρίς να τα αποκρυπτογραφήσουμε πρώτα. Και η αποκρυπτογράφηση των δεδομένων, τα καθιστά ευάλωτα σε κακόβουλους δρώντες.
Το πρόβλημα με την κρυπτογράφηση των δεδομένων είναι ότι αργά ή γρήγορα θα απαιτηθεί να τα αποκρυπτογραφήσουμε. Μπορούμε να αποθηκεύσουμε τα αρχεία μας κρυπτογραφικά κωδικοποιημένα σε οποιοδήποτε «σύννεφο», αλλά μόλις απαιτηθεί να κάνουμε κάτι με αυτά τα αρχεία, οτιδήποτε από την επεξεργασία ενός εγγράφου του Word έως την υποβολή ερωτημάτων σε μια βάση χρηματοοικονομικών δεδομένων, θα πρέπει πρώτα να «ξεκλειδώσουμε» τα δεδομένα και να τα αφήσουμε ευάλωτα.
Η ομομορφική κρυπτογράφηση (homomorphic encryption), μια σημαντική εξέλιξη στην επιστήμη της κρυπτογραφίας, υπόσχεται να λύσει αυτό το πρόβλημα.
Τι είναι όμως η Ομομορφική Κρυπτογράφηση;
Ο σκοπός της ομομορφικής κρυπτογράφησης είναι να επιτρέψει την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα. Έτσι τα δεδομένα μπορούν να παραμείνουν εμπιστευτικά κατά την επεξεργασία τους, επιτρέποντας την επίτευξη χρήσιμων εργασιών με τα αυτά ενώ είναι αποθηκευμένα σε μη αξιόπιστα περιβάλλοντα. Σε έναν κόσμο κατανεμημένων υπολογιστικών πόρων και ετερογενούς δικτύωσης, αυτή είναι μια εξαιρετικά πολύτιμη δυνατότητα.
Ένα ομομορφικό κρυπτογραφικό σύστημα είναι σαν τις άλλες μορφές ασύμμετρης κρυπτογράφησης, επειδή χρησιμοποιεί ένα δημόσιο κλειδί για την κρυπτογράφηση των δεδομένων και επιτρέπει μόνο στο άτομο με το κατάλληλο ιδιωτικό κλειδί να προσπελάσει τα μη κρυπτογραφημένα δεδομένα.
Ωστόσο, αυτό που το ξεχωρίζει από άλλες μορφές κρυπτογράφησης είναι ότι χρησιμοποιεί ένα αλγεβρικό σύστημα που επιτρέπει σε εμάς ή σε εξουσιοδοτημένους τρίτους να εκτελέσουν μια ποικιλία υπολογισμών (ή λειτουργιών) στα κρυπτογραφημένα δεδομένα.
Στα μαθηματικά ο όρος «ομομορφικό» περιγράφει τον μετασχηματισμό ενός συνόλου δεδομένων σε ένα άλλο διατηρώντας παράλληλα τις σχέσεις μεταξύ των στοιχείων και στα δύο σύνολα. Επειδή τα δεδομένα σε ένα ομομορφικό σύστημα κρυπτογράφησης διατηρούν την ίδια δομή, πανομοιότυπες μαθηματικές λειτουργίες, είτε αυτές εκτελούνται σε κρυπτογραφημένα ή σε μη κρυπτογραφημένα δεδομένα, θα οδηγήσουν σε ισοδύναμα αποτελέσματα.
Η εύρεση μιας μεθόδου για την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα αποτελούσε στόχο της κρυπτογραφίας από όταν προτάθηκε το 1978 από τους Rivest, Adleman και Δερτούζο. Το ενδιαφέρον για αυτό το θέμα οφείλεται στις πολυάριθμες εφαρμογές του στον πραγματικό κόσμο.
Η ανάπτυξη της πλήρους ομομορφικής κρυπτογράφησης αποτελεί μία επαναστατική πρόοδο για το πεδίο της κρυπτογραφίας, επεκτείνοντας σε μεγάλο βαθμό το πεδίο των υπολογισμών που μπορούν να εφαρμοστούν για την επεξεργασία κρυπτογραφημένων δεδομένων ομομορφικά.
Το ενδιαφέρον για τη βελτίωση, υλοποίηση και εφαρμογή της πλήρους ομομορφικής κρυπτογράφησης εντάθηκε όταν ο Craig Gentry δημοσίευσε το 2009 την εργασία του που περιέγραφε λεπτομερώς αυτό το σχήμα ομομορφικής κρυπτογράφησης.
Τύποι Ομομορφικής Κρυπτογράφησης
Υπάρχουν τρεις τύποι ομομορφικής κρυπτογράφησης:
– Μερικώς ομομορφική κρυπτογράφηση
– Κάπως ομομορφική κρυπτογράφηση
– Πλήρης ομομορφική κρυπτογράφηση
Η κύρια διαφορά μεταξύ τους σχετίζεται με τους τύπους και τη συχνότητα των μαθηματικών λειτουργιών που μπορούν να εκτελεστούν σε κρυπτογραφημένα δεδομένα.
Η μερικώς ομομορφική κρυπτογράφηση επιτρέπει την εκτέλεση μόνο συγκεκριμένων μαθηματικών συναρτήσεων σε κρυπτογραφημένες τιμές. Αυτό σημαίνει ότι μόνο μία λειτουργία, είτε πρόσθεση είτε πολλαπλασιασμός, μπορεί να εκτελεστεί απεριόριστα στα κρυπτογραφημένα δεδομένα. Η μερικώς ομομορφική κρυπτογράφηση με πολλαπλασιαστικές λειτουργίες είναι η βάση για την κρυπτογράφηση RSA, η οποία χρησιμοποιείται συνήθως για τη δημιουργία ασφαλών συνδέσεων μέσω SSL/TLS.
Ένα κάπως ομομορφικό σύστημα κρυπτογράφησης είναι αυτό που υποστηρίζει την επιλογή λειτουργίας (είτε πρόσθεση ή πολλαπλασιασμό) μίας ορισμένης πολυπλοκότητας, αλλά αυτές οι λειτουργίες μπορούν να εκτελεστούν μόνο για ένα πεπερασμένο αριθμό.
Πλήρης Ομομορφική Κρυπτογράφηση
Η πλήρης ομομορφική κρυπτογράφηση (Fully Homomorphic Encryption, FHE), παρότι βρίσκεται ακόμα στο στάδιο της ανάπτυξης, έχει πολλές δυνατότητες να καταστήσει τη λειτουργικότητα συμβατή με την ιδιωτικότητα, βοηθώντας να διατηρήσουμε τις πληροφορίες ασφαλείς και προσβάσιμες ταυτόχρονα.
Η πλήρης ομομορφική κρυπτογράφηση χρησιμοποιεί τόσο την πρόσθεση όσο και τον πολλαπλασιασμό, για απεριόριστες φορές, ενώ επιτρέπει με ασφάλεια την ταυτόχρονη εκτέλεση λειτουργιών από πολλαπλά μέρη (multi-party computation). Σε αντίθεση με τις άλλες μορφές ομομορφικής κρυπτογράφησης, μπορεί να χειριστεί τυχαίους υπολογισμούς στα κρυπτογραφημένα δεδομένα.
Εφαρμογές Πλήρους Ομομορφικής Κρυπτογράφησης
Ο Craig Gentry ανέφερε στη διατριβή του ότι «η πλήρης ομομορφική κρυπτογράφηση έχει πολλαπλές εφαρμογές. Για παράδειγμα, επιτρέπει ιδιωτικά ερωτήματα σε μια μηχανή αναζήτησης.
Ο χρήστης υποβάλλει ένα κρυπτογραφημένο ερώτημα και η μηχανή αναζήτησης υπολογίζει μια συνοπτική κρυπτογραφημένη απάντηση χωρίς ποτέ να εξετάσει το περιεχόμενο του ερωτήματος. Επίσης, επιτρέπει την αναζήτηση σε κρυπτογραφημένα δεδομένα. Ένας χρήστης αποθηκεύει κρυπτογραφημένα αρχεία σε έναν απομακρυσμένο διακομιστή αρχείων και μπορεί αργότερα να ανακτήσει από τον διακομιστή μόνο τα αρχεία που (όταν αποκρυπτογραφηθούν) ικανοποιούν ορισμένους περιορισμούς δυαδικής τιμής. Γενικότερα, η πλήρης ομομορφική κρυπτογράφηση βελτιώνει την απόδοση του ασφαλούς υπολογισμού από πολλαπλά μέρη.»
Οι ερευνητές έχουν ήδη προσδιορίσει αρκετές πρακτικές εφαρμογές της πλήρους ομομορφικής κρυπτογράφησης, όπως:
-Προστασία δεδομένων που είναι αποθηκευμένα στο cloud.
Χρησιμοποιώντας την ομομορφική κρυπτογράφηση, μπορούμε να ασφαλίσουμε τα δεδομένα που αποθηκεύουμε στο cloud, διατηρώντας παράλληλα τη δυνατότητα να υπολογίσουμε και να αναζητήσουμε πληροφορίες που μπορούμε να αποκρυπτογραφήσετε αργότερα, χωρίς να διακυβεύουμε την ακεραιότητα των δεδομένων στο σύνολό τους.
-Ανάλυση δεδομένων για ερευνητικούς σκοπούς.
Η ομομορφική κρυπτογράφηση επιτρέπει την κρυπτογράφηση και την αποδέσμευση δεδομένων σε εμπορικά περιβάλλοντα για σκοπούς έρευνας και διαμοιρασμού δεδομένων, προστατεύοντας παράλληλα το απόρρητο των δεδομένων των χρηστών ή των ασθενών. Μπορεί να χρησιμοποιηθεί για επιχειρήσεις και οργανισμούς σε διάφορες βιομηχανίες, όπως χρηματοοικονομικές υπηρεσίες, λιανική πώληση, τεχνολογία πληροφοριών και υγειονομική περίθαλψη, ώστε να επιτρέπουν στους χρήστες να χρησιμοποιούν τα δεδομένα χωρίς να έχουν πρόσβαση στις μη κρυπτογραφημένες τιμές τους.
Παραδείγματα αποτελούν η προγνωστική ανάλυση των ιατρικών δεδομένων χωρίς να τίθεται σε κίνδυνο το απόρρητο των δεδομένων, η διατήρηση του απορρήτου των πελατών για τη διενέργεια εξατομικευμένων διαφημίσεων, οι αλγόριθμοι πρόβλεψης τιμών μετοχών και η ιατροδικαστική αναγνώριση εικόνας.
-Bελτίωση της ασφάλειας των εκλογών και της διαφάνειας.
Οι ερευνητές εργάζονται για το πώς να χρησιμοποιήσουν την ομομορφική κρυπτογράφηση για να καταστήσουν τις δημοκρατικές εκλογές πιο ασφαλείς και διαφανείς. Αυτή η τεχνολογία θα μπορούσε όχι μόνο να προστατεύσει τα δεδομένα από τη χειραγώγηση και αλλοίωση, αλλά θα μπορούσε να επιτρέψει και την ανεξάρτητη επαλήθευση από εξουσιοδοτημένα μέρη.
Περιορισμοί Πλήρους Ομομορφικής Κρυπτογράφησης
Επί του παρόντος υπάρχουν δύο γνωστοί περιορισμοί της πλήρους ομομορφικής κρυπτογράφησης. Ο πρώτος περιορισμός είναι η υποστήριξη για πολλαπλούς χρήστες.
Ας υποθέσουμε ότι υπάρχουν πολλοί χρήστες του ίδιου συστήματος το οποίο βασίζεται σε μια εσωτερική βάση δεδομένων που χρησιμοποιείται για υπολογισμούς, οι οποίοι επιθυμούν να προστατεύσουν τα προσωπικά τους δεδομένα από τον πάροχο του συστήματος. Μια λύση θα ήταν ο πάροχος να έχει μια ξεχωριστή βάση δεδομένων για κάθε χρήστη, κρυπτογραφημένη με το δημόσιο κλειδί του κάθε χρήστη. Εάν όμως η βάση δεδομένων είναι πολύ μεγάλη και υπάρχουν πολλοί χρήστες, η υλοποίηση αυτής της λύσης είναι αδύνατη.
Ένας δεύτερος περιορισμός αφορά εφαρμογές που περιλαμβάνουν την εκτέλεση πολύ μεγάλων και πολύπλοκων αλγορίθμων. Όλα τα πλήρη ομομορφικά συστήματα κρυπτογράφησης έχουν μια μεγάλη υπολογιστική επιβάρυνση, η οποία περιγράφει την αναλογία του χρόνου εκτέλεσης ενός υπολογισμού σε κρυπτογραφημένα δεδομένα έναντι του χρόνου εκτέλεσης του ίδιο υπολογισμού σε μη κρυπτογραφημένα δεδομένα. Αυτή η υπολογιστική επιβάρυνση καθιστά τον ομομορφικό υπολογισμό πολύπλοκων λειτουργιών μη πρακτικό.
Υλοποιήσεις Πλήρους Ομομορφικής Κρυπτογράφησης
Μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας στον κόσμο έχουν ξεκινήσει προγράμματα για να βελτιστοποιήσουν την ομομορφική κρυπτογράφηση και να την καταστήσουν καθολικά διαθέσιμη και φιλική προς τον χρήστη.
Η Microsoft, για παράδειγμα, έχει δημιουργήσει τη βιβλιοθήκη SEAL (Simple Encrypted Arithmetic Library), ένα σύνολο βιβλιοθηκών κρυπτογράφησης που επιτρέπουν την εκτέλεση υπολογισμών απευθείας σε κρυπτογραφημένα δεδομένα. Με την τεχνολογία της ομομορφικής κρυπτογράφησης ανοιχτού κώδικα, η ομάδα της Microsoft συνεργάζεται με εταιρείες για τη δημιουργία υπηρεσιών αποθήκευσης και υπολογισμού κρυπτογραφημένων δεδομένων από άκρο σε άκρο (end-to-end encryption). Οι εταιρείες μπορούν να χρησιμοποιήσουν τη βιβλιοθήκη SEAL για να δημιουργήσουν πλατφόρμες ανάλυσης δεδομένων με χρήση κρυπτογραφημένων πληροφοριών, ενώ οι κάτοχοι των δεδομένων δεν απαιτείται ποτέ να μοιράζονται το κλειδί κρυπτογράφησης με οποιονδήποτε άλλο χρήστη. Ο στόχος, λέει η Microsoft, είναι να «βάλουμε τη βιβλιοθήκη μας στα χέρια κάθε προγραμματιστή, έτσι ώστε να μπορούμε να συνεργαστούμε για πιο ασφαλή, ιδιωτικά και αξιόπιστα υπολογιστικά συστήματα».
Η Google ανακοίνωσε επίσης τη στήριξή της για την ομομορφική κρυπτογράφηση αποκαλύπτοντας το δικό της κρυπτογραφημένο εργαλείο ανοιχτού κώδικα, το Private Join and Compute. Το εργαλείο της Google επικεντρώνεται στην ανάλυση δεδομένων σε κρυπτογραφημένη μορφή, όπου ορατές είναι μόνο οι πληροφορίες που προκύπτουν από την ανάλυση και όχι τα υποκείμενα δεδομένα.
Τέλος, με στόχο να γίνει διαδεδομένη η ομομορφική κρυπτογράφηση, η IBM αποδέσμευσε το 2016 την πρώτη έκδοση της βιβλιοθήκης HElib, η οποία σύμφωνα με πληροφορίες «ήταν 100 τρισεκατομμύρια φορές πιο αργή από τις λειτουργίες σε απλό κείμενο.» Έκτοτε, η IBM έχει εργαστεί για την επίλυση αυτού του προβλήματος και έχει καταλήξει σε μια έκδοση που είναι 75 φορές ταχύτερη, αλλά εξακολουθεί να υστερεί έναντι των αντίστοιχων λειτουργιών επί απλού κειμένου.
Συμπέρασμα
Σε μια εποχή που η εστίαση στην ιδιωτικότητα αυξάνεται, κυρίως λόγω κανονισμών όπως ο GDPR, η έννοια της ομομορφικής κρυπτογράφησης παρέχει πολλές υποσχέσεις για εφαρμογή σε διάφορες βιομηχανίες. Οι ευκαιρίες που προκύπτουν από την ομομορφική κρυπτογράφηση είναι σχεδόν ατελείωτες. Ίσως η πιο συναρπαστική πτυχή είναι ο τρόπος με τον οποίο συνδυάζει την ανάγκη προστασίας της ιδιωτικής ζωής με την ανάγκη για λεπτομερή ανάλυση των δεδομένων. Η ομομορφική κρυπτογράφηση μετέτρεψε την «Αχίλλειο πτέρνα» σε δώρο από τους θεούς.
Η αρχική έκδοση του παρόντος άρθρου δημοσιεύθηκε στην ιστοσελίδα της Venafi.
Η εποχή της "συγκομιδής" των προσωπικών δεδομένων
Γράφει η Αδαμαντία Βολικού*
Η ονομαζόμενη «συγκομιδή δεδομένων» αποτελεί, στη σύγχρονη εποχή, μια δραστηριότητα δημοφιλή και συχνά ιδιαίτερα επικερδή για όσους ασχολούνται με αυτή.
-Μπορεί, ωστόσο, η συγκομιδή αυτή να γίνεται ανεξέλεγκτα ή υπόκειται σε περιορισμούς;
-Και τι συμβαίνει όταν άλλοι συγκεντρώνουν τα προσωπικά μας δεδομένα, τους καρπούς δηλαδή της δικής μας «σοδειάς»;
Τι είναι «συγκομιδή δεδομένων»;
Ο όρος «συγκομιδή» ή «απόξεση» ή «απόσπαση» δεδομένων (data scraping) είναι ένας γενικός όρος, ο οποίος αναφέρεται σε όλες τις μεθόδους που χρησιμοποιούνται και στοχεύουν στην απόκτηση και συλλογή δεδομένων από το διαδίκτυο.
Η συγκομιδή μπορεί να γίνεται από μεμονωμένα άτομα και χειροκίνητα –ποιος από εμάς άλλωστε δεν έχει συλλέξει πληροφορίες από το διαδίκτυο; – ωστόσο, σήμερα, ο συνηθέστερος τρόπος που επιτρέπει τη συλλογή εξαιρετικά μεγάλου όγκου δεδομένων σε ασύγκριτα ταχύτερο χρόνο είναι ο αυτοματοποιημένος. Η αυτοματοποιημένη συγκομιδή δεδομένων πραγματοποιείται με τη χρήση ειδικού λογισμικού, το οποίο στοχεύει στην απόσπαση δεδομένων που βρίσκονται στο διαδίκτυο και, πρακτικά, αποτελεί μια μορφή αντιγραφής δεδομένων, τα οποία συγκεντρώνονται για μεταγενέστερη ανάλυση και χρήση.
Τις βασικότερες μορφές συγκομιδής δεδομένων αποτελούν:
α) η απόσπαση στοχευμένων και συγκεκριμένων δεδομένων από ιστοσελίδες (screen scraping, ελλ. «συγκομιδή δεδομένων οπτικής εξόδου»),
β) η απόκτηση όλων των δεδομένων ενός ιστοτόπου, συμπεριλαμβανομένης της γλώσσας προγραμματισμού του και η μετατροπή τους στη μορφή που επιθυμεί ο αποκτών λ.χ. δημιουργία αρχείου ή βάσης δεδομένων (web scraping ή web harvesting, ελλ. «ιστοσυγκομιδή») και
γ) η χρήση προγραμμάτων-ρομπότ (web spiders, web crawlers, scraper bots, search bots), τα οποία διατρέχουν τις σελίδες του παγκόσμιου ιστού και αντιγράφουν το περιεχόμενό τους και το περιεχόμενο των υπερσυνδέσμων (hyperlinks) που περιέχονται σε αυτές ώστε να δημιουργήσουν ευρετήρια του internet (web crawling ή web spidering, ελλ. «ανίχνευση ιστού»). Η μέθοδος αυτή χρησιμοποιείται κυρίως από μηχανές αναζήτησης (Google, Bing κλπ.), με σκοπό να αυξήσουν, να επικαιροποιήσουν και να κάνουν πιο ελκυστικά τα αποτελέσματα αναζήτησης.
Πού χρησιμεύει η συγκομιδή δεδομένων και πώς μας αφορά;
Η συγκέντρωση και ανάλυση κάθε μορφής δεδομένων και πληροφοριών από ηλεκτρονικά προσβάσιμες πηγές δεν αποτελούν είδηση για το σύγχρονο κόσμο. Χρησιμοποιούνται ευρέως εδώ και έτη σε πολλούς κλάδους που επηρεάζουν άμεσα ή έμμεσα την καθημερινή μας ζωή.
Η συλλογή και χρήση δεδομένων προορίζεται, μεταξύ άλλων, για την προώθηση της ιατρικής έρευνας, την υποστήριξη μεγάλης ή μικρής κλίμακας στατιστικών μελετών, τη διευκόλυνση και ενίσχυση της ακαδημαϊκής έρευνας, την εξέλιξη της επιστήμης γενικότερα και της τεχνολογίας, την προώθηση της οικονομίας και του εμπορίου προς όφελος των καταναλωτών. Στην τελευταία περίπτωση, τα αποτελέσματα των τεχνικών της συγκομιδής δεδομένων γίνονται άμεσα αντιληπτά στο χρήστη του διαδικτύου μέσα από τη δυνατότητα πρόσβασης σε ιστοτόπους σύγκρισης τιμών προϊόντων και υπηρεσιών (λ.χ. τιμές εισιτηρίων, καταλυμάτων και εμπορευμάτων) και τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών ώστε να ανταποκρίνονται στις ανάγκες του σύγχρονου καταναλωτή (λ.χ. έξυπνες συσκευές).
Ωστόσο, η συγκομιδή δεδομένων δεν έχει ως αντικείμενο μόνο την απόκτηση πληροφοριών γενικού, επιστημονικού ή οικονομικού ενδιαφέροντος. Τα προσωπικά δεδομένα των χρηστών του διαδικτύου δηλαδή όλες οι διαθέσιμες στο διαδίκτυο πληροφορίες που σχετίζονται ή μπορούν να σχετιστούν με κάθε χρήστη έχουν ανεκτίμητη αξία για ολόκληρο σχεδόν τον επιχειρηματικό κόσμο του πλανήτη αλλά και για άλλους κλάδους όπως η επιστήμη και η τεχνολογία, για την επιβίωση και εξέλιξή τους σε συνθήκες σκληρού ανταγωνισμού.
Η δραστηριότητα του ανθρώπου στο διαδίκτυο είναι ανεξάντλητη: online αγοραπωλησίες, μέσα κοινωνικής δικτύωσης, επαγγελματική προβολή, υπηρεσίες ηλεκτρονικού ταχυδρομείου, αναζήτηση πληροφοριών, blogs, ανάρτηση σχολίων, υπηρεσίες συνδρομητικές ή όχι, με εγγραφή ή χωρίς. Σύμφωνα με πρόσφατες στατιστικές, ως τις αρχές του 2020 υπολογίζεται ότι κάθε χρήστης παράγει κατά μέσο όρο 1,7 megabytes δεδομένων ανά δευτερόλεπτο. Η ίδια αυτή δραστηριότητα αφήνει πίσω της και τα ίχνη μας, τα προσωπικά δεδομένα, τα οποία γίνονται πολυπόθητο αντικείμενο συγκομιδής.
Με ποιους «μοιραζόμαστε» τα προσωπικά μας δεδομένα;
Η συγκομιδή δεδομένων αποτελεί συνήθη και διαδεδομένη διεθνώς πρακτική για πολλούς κλάδους, οι οποίοι συγκεντρώνουν και αποθηκεύουν τεράστια πακέτα δεδομένων (big data sets) για να τα επεξεργαστούν αργότερα για δική τους χρήση ή για να τα πουλήσουν σε άλλους ενδιαφερόμενους. Η απόσπαση προσωπικών δεδομένων απευθείας από τον παγκόσμιο ιστό γίνεται συχνά δίχως να το γνωρίζουν τα ίδια τα πρόσωπα.
Τα παραδείγματα των κλάδων που δραστηριοποιούνται στη συγκομιδή προσωπικών δεδομένων είναι πολλά:
-Υπεύθυνοι τμημάτων ανθρώπινου δυναμικού και εταιρειών προσλήψεων (recruiters) φιλτράρουν ιστότοπους με βιογραφικά σημειώματα, και προφίλ εργαζομένων, προκειμένου να ενημερώσουν τις βάσεις δεδομένων τους και να διακρίνουν τις τάσεις στην αγορά εργασίας.
-Επιχειρήσεις συλλέγουν δεδομένα για να διαμορφώσουν παγκόσμιες αλλά και τοπικές στρατηγικές προώθησης και διαφήμισης προϊόντων και υπηρεσιών και να διακρίνουν καταναλωτικές τάσεις.
-Πάροχοι τραπεζικών και ασφαλιστικών υπηρεσιών στοχεύουν στην προώθηση προγραμμάτων στους καταναλωτές και στην αξιολόγηση της φερεγγυότητάς τους.
-Η επιστημονική και η ακαδημαϊκή κοινότητα, όπως και τα μέσα μαζικής ενημέρωσης αποσπούν δεδομένα για ερευνητικούς, στατιστικούς και άλλους σκοπούς.
-Δεδομένα από ιστότοπους που περιέχουν ηλεκτρονικές διευθύνσεις ή τηλεφωνικούς αριθμούς χρησιμοποιούνται για ανεπιθύμητες τηλεφωνικές κλήσεις, αποστολή ανεπιθύμητης αλληλογραφίας ή για ηλεκτρονική απάτη.
Πρόσφατα, το σκάνδαλο Facebook-Cambridge Analytica αποκάλυψε τη χρήση της συγκομιδής δεδομένων και στην πολιτική. Εκεί, στόχος της συγκομιδής ήταν ο επηρεασμός της πρόθεσης ψήφου εκατομμυρίων χρηστών της πλατφόρμας.
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστoτόπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα.
Ποια είναι τα προσωπικά δεδομένα;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), ισχύει από τις 25 Μαΐου 2018 στις χώρες της Ευρωπαϊκής Ένωσης και στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Ισλανδία και Λιχτενστάιν). Στο πεδίο του εμπίπτουν όλα τα φυσικά πρόσωπα που βρίσκονται στις χώρες αυτές. Σύμφωνα με τον Κανονισμό, προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») και συντελεί στην αναγνώρισή και ταυτοποίησή του, είτε άμεσα είτε έμμεσα.
Προσωπικά δεδομένα που μπορούν να οδηγήσουν άμεσα στην αναγνώριση ενός φυσικού προσώπου είναι το ονοματεπώνυμο, η διεύθυνση, η ηλεκτρονική διεύθυνση, στοιχεία τραπεζικών λογαριασμών, ημερομηνία γέννησης, στοιχεία επαγγέλματος, δεδομένα υγείας, οπτικό ή ακουστικό υλικό κ.ά.. Επιπλέον, προσωπικά δεδομένα θεωρούνται και όσα χρησιμοποιούνται για την έμμεση αναγνώριση ενός προσώπου δηλαδή αυτή που προκύπτει από το συνδυασμό περισσότερων πληροφοριών. Για παράδειγμα, διευθύνσεις IP, cookies ή άλλα διαδικτυακά ίχνη που αφήνει ένα πρόσωπο κατά την περιήγησή του στο διαδίκτυο, θεωρούνται προσωπικά δεδομένα καθώς όταν συνδυαστούν με άλλα αναγνωριστικά στοιχεία του, οδηγούν έμμεσα στην αναγνώρισή του.
Είναι η συγκομιδή προσωπικών δεδομένων νόμιμη;
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστότοπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα. Οποιοσδήποτε επιχειρεί πρόσβαση και απόσπαση δεδομένων θα πρέπει, αρχικά, να ακολουθεί και να συμμορφώνεται με τους «όρους χρήσης» των ιστοτόπων αυτών. Οι όροι χρήσης ενός ιστότοπου προβλέπουν, συνήθως, αν και σε ποιο βαθμό μπορεί κάποιος να αποσπάσει δεδομένα από αυτόν καθώς και αν απαιτείται για αυτό η προηγούμενη έγγραφη άδεια του ιδιοκτήτη/διαχειριστή του (χαρακτηριστικό παράδειγμα οι όροι του Twitter).
Η απόσπαση δεδομένων κατά παράβλεψη των παραπάνω κανόνων, ή ακόμα και η συγκομιδή δεδομένων από ιστότοπο που δεν έχει αναρτήσει όρους χρήσης ή δεν περιλαμβάνει σε αυτούς περιορισμούς σχετικά με τη συγκομιδή, εκθέτει τον αποσπώντα σε σοβαρούς κινδύνους. Πέρα από την κατάχρηση των κανόνων ηθικής και δεοντολογίας που θεωρείται ότι διέπουν το data scraping, η αθέμιτη και άμετρη χρήση τέτοιων τεχνικών καθιστά αυτόν που τις χρησιμοποιεί υπεύθυνο για παραβίαση του δικαίου των συμβάσεων, των νόμων περί προστασίας της πνευματικής ιδιοκτησίας ή/και του ποινικού δικαίου κατά περίπτωση.
Ειδικότερα, στο πεδίο των προσωπικών δεδομένων, τα τελευταία έτη, η ανεξέλεγκτη και εν αγνοία των χρηστών του διαδικτύου χρήση των τεχνικών συγκομιδής έχει προκαλέσει προβληματισμούς και αντιπαραθέσεις ως προς το αν και σε ποιο βαθμό κινείται εντός νόμιμων ορίων.
Ίσως ο πιο σημαντικός προβληματισμός αφορά στην προστασία των προσωπικών δεδομένων που είναι δημόσια ορατά και προσβάσιμα δηλαδή όσα δεν καλύπτονται από κωδικούς πρόσβασης, ρυθμίσεις απορρήτου και ιδιωτικότητας και άλλα μέτρα προστασίας, και έχουν γίνει δημόσια ορατά είτε από επιλογή του χρήστη, είτε δίχως να το γνωρίζει. Δεν είναι σπάνιο το φαινόμενο, φίλοι, γνωστοί ή άλλοι να αναρτούν στο διαδίκτυο πληροφορίες για εμάς χωρίς να έχουμε ενημερωθεί, ούτε επίσης οι περιπτώσεις στις οποίες τα προφίλ των χρηστών σε διάφορες πλατφόρμες είναι δημόσια ορατά είτε επειδή αμέλησαν να προσαρμόσουν τις ρυθμίσεις ιδιωτικότητας είτε επειδή αυτές είναι γραμμένες σε δυσνόητη γλώσσα.
Το βασικό επιχείρημα όσων αποσπούν δεδομένα (data scrapers) είναι ότι κάθε χρήστης που κατέστησε τα προσωπικά δεδομένα του δημόσια προσβάσιμα παρέχει σιωπηρά τη συγκατάθεσή του για τη συγκομιδή τους αφού γνωρίζει εκ των προτέρων ότι οποιοσδήποτε μπορεί να έχει πρόσβαση σε αυτά. Το επιχείρημα αυτό έκανε δεκτό απόφαση πρωτοβάθμιου δικαστηρίου των ΗΠΑ στην υπόθεση hiQ Labs Inc. v LinkedIn Corpοration.
Στον ευρωπαϊκό χώρο, ο ΓΚΠΔ δεν περιέχει προβλέψεις ή ρυθμίσεις που να αναφέρονται ευθέως στη συγκομιδή δεδομένων. Θέτει, ωστόσο, ένα γενικό πλαίσιο προστασίας των προσωπικών δεδομένων με το οποίο, όσοι εμπλέκονται στη συγκομιδή πρέπει να συμμορφωθούν, εφόσον επιθυμούν οι μέθοδοι αυτές να θεωρούνται νόμιμες και να αποφύγουν κυρώσεις. Το πλαίσιο αυτό θεωρείται ότι προστατεύει τόσο τα δημόσια όσο και τα μη δημόσια προσβάσιμα προσωπικά δεδομένα και ενισχύει το επιχείρημα ότι όταν τα προσωπικά δεδομένα ενός ατόμου είναι δημόσια ορατά και προσβάσιμα, αυτό δεν σημαίνει ότι έχουν τεθεί και σε δημόσια χρήση.
Το προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Είναι επαρκές;
Αρχικά, όσοι πραγματοποιούν συγκομιδή προσωπικών δεδομένων θα πρέπει να στηρίζονται σε κάποιο νόμιμο λόγο/νόμιμη βάση για να το κάνουν.
Από τις νόμιμες βάσεις που προβλέπονται στον ΓΚΠΔ η συγκομιδή μπορεί να στηριχθεί κυρίως σε δύο: είτε στη συγκατάθεση του προσώπου για την επεξεργασία των προσωπικών δεδομένων του, είτε στο να είναι η επεξεργασία απαραίτητη για να εξυπηρετηθούν νόμιμα συμφέροντα αυτού που διενεργεί τη συγκομιδή. Αν όμως τα νόμιμα αυτά συμφέροντα έρχονται σε αντίθεση με θεμελιώδη δικαιώματα των προσώπων, τότε συγκομιδή δεν μπορεί να πραγματοποιηθεί καθώς χάνει τη νόμιμη βάση της.
Επίσης, συγκομιδή στηριζόμενη σε νόμιμα συμφέροντα δεν μπορεί να γίνει όταν πρόκειται να συλλεχθούν «ευαίσθητα προσωπικά δεδομένα» δηλαδή όσα αναφέρονται σε φύλο, καταγωγή, πολιτικές, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή και προσανατολισμό, Εδώ ο ΓΚΠΔ απαιτεί (με εξαιρέσεις) το πρόσωπο να δώσει για τη συγκομιδή όχι απλή αλλά ρητή συγκατάθεση.
Στη συνέχεια, ορίζεται ότι η συγκομιδή δεδομένων θα πρέπει να ακολουθεί ορισμένες βασικές προϋποθέσεις. Αφενός δεν μπορεί να είναι γίνεται απεριόριστα αλλά μόνο στην ποσότητα που είναι απολύτως αναγκαία για το σκοπό για τον οποίο πραγματοποιείται («ελαχιστοποίηση των δεδομένων»). Αφετέρου ο σκοπός αυτός πρέπει να γίνεται γνωστός στα πρόσωπα και να είναι εξ αρχής σαφής και συγκεκριμένος («περιορισμός του σκοπού»).
Τέλος, ο ΓΚΠΔ υποχρεώνει όσους συλλέγουν προσωπικά δεδομένα είτε απευθείας από τα πρόσωπα είτε από άλλες πηγές, όπως συμβαίνει στη συγκομιδή, να ενημερώνουν κάθε πρόσωπο για τη συλλογή και τους σκοπούς της με απλό και κατανοητό τρόπο, γνωστοποιώντας του το κείμενο της λεγόμενης «πολιτικής απορρήτου».
Εφόσον ενημερωθεί, κάθε πολίτης έχει δικαίωμα να επικοινωνήσει με τον αποσπώντα και να ασκήσει τα δικαιώματα που προβλέπει ο ΓΚΠΔ και αυτά είναι: το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία ιδίως όταν αυτή γίνεται αυτοματοποιημένα και στοχεύει στη δημιουργία προφίλ. Αν η επικοινωνία με τον αποσπώντα αποβεί άκαρπη, ο πολίτης μπορεί να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.
Κάπου εδώ ξεκινούν τα προβλήματα. Ο ίδιος ο ΓΚΠΔ δίνει τη δυνατότητα σε όποιον συλλέγει δεδομένα όχι απευθείας από τα πρόσωπα αλλά από άλλες πηγές να μην ενημερώσει χωριστά κάθε πρόσωπο αν η ενημέρωση θεωρείται για κάποιο λόγο αδύνατη (π.χ. κρίνεται αδύνατο να εντοπιστούν όλα τα πρόσωπα ή για να ενημερωθούν όλοι απαιτείται εξοντωτικό κόστος). Σε αυτές τις περιπτώσεις ο αποσπών δεδομένα επιτρέπεται να προχωρήσει σε γενική μόνο ενημέρωση προς το κοινό, μπορεί για παράδειγμα να αναρτήσει τις σχετικές πληροφορίες στον ιστότοπό του.
Είναι αρκετό αυτό για την προστασία των προσωπικών δεδομένων;
Και σημαίνει πώς κάθε πρόσωπο θα πρέπει να επισκεφθεί χιλιάδες ιστoτόπους παγκοσμίως για ενημερωθεί ποιοι αποσπούν προσωπικά του δεδομένα;
Η απάντηση που δίνεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είναι ότι όταν οι αποσπώντες δεδομένα κρίνουν ότι υπάρχει αδυναμία ενημέρωσης, αρκεί να πραγματοποιήσουν τη λεγόμενη «εκτίμηση αντικτύπου» δηλαδή να εξετάσουν μόνοι τους κατά πόσο οι πράξεις τους μπορούν να θέσουν σε κίνδυνο τα δικαιώματα των προσώπων και να λάβουν τα κατάλληλα μέτρα για την προστασία των δεδομένων. Με τη θέση αυτή συντάσσονται και ορισμένες Αρχές Προστασίας Προσωπικών Δεδομένων όπως η βρετανική (ICO) και η ελληνική. Αν δεν υπάρξει ενημέρωση των προσώπων, ούτε εκτίμηση αντικτύπου, τότε όποιος ανακαλυφθεί ότι επιχειρεί συγκομιδή προσωπικών δεδομένων καλείται να πληρώσει πρόστιμο που φτάνει έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης. Πρέπει όμως πρώτα να ανακαλυφθεί…
Τελικά, μπορεί η «αδυναμία ενημέρωσης κάθε προσώπου» να χρησιμοποιηθεί ως δικαιολογία από όσους θέλουν να αποφύγουν να συμμορφωθούν με τον ΓΚΠΔ; Προς το παρόν, η απάντηση είναι αρνητική, και ήρθε από την πολωνική αρχή προστασίας προσωπικών δεδομένων (UODO). H αρχή, τοποθετούμενη αυστηρά υπέρ της προστασίας των προσωπικών δεδομένων, στις αρχές του 2019 επέβαλε πρόστιμο περίπου 220.000 ευρώ σε εταιρεία (Bisnode) επειδή προέβη στη συγκομιδή δημόσια προσβάσιμων προσωπικών δεδομένων εκατομμυρίων Πολωνών ιδιοκτητών επιχειρήσεων με σκοπό να παραχωρήσει έπειτα σε τράπεζες στοιχεία για την πιστοληπτική τους ικανότητα, την ίδια στιγμή που ο μοναδικός τρόπος για να ενημερωθούν οι ίδιοι για τη συλλογή των δεδομένων τους ήταν μέσω μιας σχετικής ανάρτησης της εταιρείας σε ιστοσελίδα της.
Για νεότερες εξελίξεις ας αναμείνουμε στις οθόνες μας.
Υπάρχουν άλλοι τρόποι προστασίας από την αυθαίρετη συγκομιδή δεδομένων;
Η απάντηση είναι θετική, επαφίεται, ωστόσο, στα χέρια αυτών που κατέχουν και διαχειρίζονται τους ιστότοπους από όπου συλλέγονται τα δεδομένα. Η ανάρτηση «όρων χρήσης» σε κάθε ιστότοπο, οι οποίοι να επιτρέπουν την περιορισμένη συγκομιδή δεδομένων μόνο έπειτα από γραπτή άδεια του διαχειριστή ή να απαγορεύουν τη συγκομιδή, έχει θεωρηθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (υπόθεση Ryanair Ltd vPR Aviation BV) ως ένα μέτρο ικανό να περιορίσει την ανεξέλεγκτη συλλογή δεδομένων και να φέρει όσους την επιχειρούν αντιμέτωπους με τις νομικές τους ευθύνες.
Το ίδιο αποτέλεσμα επιτυγχάνεται και με τη χρήση της τεχνολογίας. Κάθε ιστότοπος έχει τη δυνατότητα να περιορίσει τον όγκο των επισκέψεων/αιτημάτων πρόσβασης και απόσπασης δεδομένων που δέχεται από συγκεκριμένες διευθύνσεις IP ή διευθύνσεις IP των scraper bots ή ακόμα και να αποκλείσει εντελώς αυτές (IP addresses blocking). Επίσης, μέσα από τη διαδικασία εγγραφής, σύνδεσης και χρήσης κωδικού πρόσβασης, το περιεχόμενο ενός ιστότοπου γίνεται ορατό μόνο στους εγγεγραμμένους χρήστες του.
Αποτελεσματικές θεωρούνται ομοίως, τόσο η μέθοδος τείχους προστασίας κατά των ρομπότ συγκομιδής (anti-bot firewalls) όσο και η μέθοδος CAPTCHA (επιβεβαίωση ότι η πρόσβαση δεν επιχειρείται από ρομπότ) και, τέλος, η ενσωμάτωση στον ιστότοπο ενός αρχείου ονομαζόμενου robot.txt μέσα από το οποίο ο ιστότοπος ορίζει αν και σε ποιο βαθμό το περιεχόμενό του είναι προσβάσιμο και διαθέσιμο προς συγκομιδή.
Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί.
Αντί για επίλογο
Η συμφιλίωση ανάμεσα στις πρακτικές συγκομιδής και στην προστασία των προσωπικών δεδομένων δεν είναι εύκολη υπόθεση. Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί. Δημιουργούνται πολλά ερωτήματα για το αν το ισχύον νομικό πλαίσιο προστατεύει πλήρως τα προσωπικά δεδομένα και μέχρι να απαντηθούν τη λύση θα μπορούσαν να δώσουν οι ενδιαφερόμενες πλευρές. Όσοι αποσπούν δεδομένα μπορούν να συμμορφώνονται με τους νομικούς και ηθικούς κανόνες, όσοι διαχειρίζονται ιστοσελίδες έχουν τη δυνατότητα με την κατάλληλη τεχνολογία να αποτρέπουν ή να περιορίζουν τη συγκομιδή δεδομένων και οι χρήστες του διαδικτύου μπορούν να είναι προσεκτικότεροι ως προς τις πληροφορίες που επιλέγουν να είναι δημόσια ορατές.
* Η Αδαμαντία Βολικού είναι δικηγόρος με ειδίκευση στο Δίκαιο του Διαδικτύου (Master’s Degree) και στο Αστικό, Αστικό Δικονομικό και Εργατικό Δίκαιο (Μ.Δ.Ε.). Εκπροσωπεί φυσικά και νομικά πρόσωπα σε υποθέσεις που εμπίπτουν στα παραπάνω πεδία ενώ εργάζεται και ως νομική σύμβουλος εταιρειών πάνω σε θέματα προστασίας προσωπικών δεδομένων, πληροφορικής – νέων τεχνολογιών και συμμόρφωσης με τη νομοθεσία. Είναι διαπιστευμένη επαγγελματίας για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων (CIPP/E) από τη διεθνή ένωση IAPP.
Πηγές επιπλέον των υπερσυνδέσμων:
-
- Brett Massimino, Accessing Online Data: Web-Crawling and Information-Scraping. Techniques to Automate the Assembly of Research Data, Journal of Business Logistics, 2016, 37(1): 34–42.
- European Commission, An Introduction to Web Scraping, IT and Legal aspects, ESTP Course on Automated collection of online process: sources, tools and methodological aspects, 2017.
- Vlad Krotov, Leiser Silva, Legality and Ethics of Web Scraping, Twenty-fourth Americas Conference on Information Systems, New Orleans, 2018.
- Adrian Agius, Legal Perspectives on Scraping Data from the Modern Web, https://www.lawinsociety.org/legal-perspectives-on-scraping-data-from-the-modern-web/
- Fiona Campbell, Data Scraping – Considering the privacy issues, 2019, https://privacylawblog.fieldfisher.com/2019/data-scraping-considering-the-privacy-issue
Κατερίνα Δεμέτζου: "Η διεπιστημονικότητα είναι αναγκαία για την κατανοήση των σύγχρονων προκλήσεων"
Η Κατερίνα Δεμέτζου είναι υποψήφια διδάκτωρ στο OO&R (Ερευνητικό Κέντρο Δικαίου & Επιχειρήσεων) και στο iCIS (Ινστιτούτο Επιστημών Πληροφορικής και Συστημάτων Υπολογιστών) του Πανεπιστημίου Radboud, στην Ολλανδία. Είναι απόφοιτος της Νομικής Σχολής Αθηνών και κατέχει μεταπτυχιακό τίτλο σπουδών (LL.M.) στο «Δίκαιο και Τεχνολογία» από το Πανεπιστήμιο Tilburg της Ολλανδίας.
Η Κατερίνα εστιάζει την έρευνά της στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Στο παρελθόν, η Κατερίνα έχει εργαστεί σε δικηγορικά γραφεία στην Ελλάδα, στο Πανεπιστήμιο του Tilburg, στη Philips, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), και στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Μίλησε με τη Homo Digitalis σχετικά με τις προκλήσεις που έχει συναντήσει στην έρευνά της και την ανάγκη υιοθέτησης διεπιστημονικής προσέγγισης για την ορθή κατανόηση της σύγχρονης ψηφιακής πραγματικότητας.
– Έχεις δουλέψει σε Ελλάδα, Ολλανδία, και Βέλγιο για μία εντυπωσιακή πληθώρα φορέων, από πανεπιστήμια, μεγάλες εταιρίες τεχνολογίας, και δικηγορικά γραφεία, έως Θεσμούς της Ευρωπαϊκής Ένωσης, και Ελεγκτικές Αρχές. Πόσο σημαντικές ήταν οι εμπειρίες που αποκόμισες από όλα αυτά τα διαφορετικά εργασιακά περιβάλλοντα για να σχηματίσεις μία ολοκληρωμένη εικόνα ως σύγχρονος επαγγελματίας αναφορικά με τις προκλήσεις και τις ευκαιρίες που ανακύπτουν από τις νέες τεχνολογίες για το Δίκαιο και τη κοινωνία;
Η εργασιακή μου εμπειρία πάνω στο κομμάτι των προσωπικών δεδομένων, παρότι σύντομη σε διάρκεια ήταν ιδιαίτερα εποικοδομητική. Αυτό το λέω με την έννοια ότι κατάφερα να ενημερωθώ πάνω σε διαφορετικές λογικές με τις οποίες μπορεί να προσεγγιστεί το ίδιο και το αυτό ζήτημα.
Όλες οι περιπτώσεις στις οποίες αναφέρεστε στην ερώτησή σας παρουσιάζουν το εξής κοινό χαρακτηριστικό: τo κεντρικό αντικείμενο εργασίας και η βασική κατεύθυνση είναι η προστασία προσωπικών δεδομένων. Ωστόσο, το ενδιαφέρον έγκειται στο ότι το κάθε εργασιακό περιβάλλον έχει διαφορετική αφετηρία και διαφορετικούς στόχους.
Μια εθνική εποπτική αρχή (στην Ελλάδα, η Αρχή Προστασίας Προσωπικών Δεδομένων), η ύπαρξη της οποίας προβλέπεται από τον ίδιο το νόμο, έχει ως βασικό στόχο τον έλεγχο συμμόρφωσης των υπεύθυνων επεξεργασίας με τον ΓΚΠΔ. Ταυτόχρονα εκδίδει κατευθυντήριες οδηγίες με σκοπό την ορθή και την όσο το δυνατόν ομοιόμορφη εφαρμογή του νόμου.
Από την άλλη πλευρά, μια ιδιωτική εταιρεία έχει να αντιμετωπίσει το ζήτημα της συμμόρφωσης με το νόμο με σκοπό την αποφυγή προστίμων αλλά και με σκοπό να κερδίσει την εμπιστοσύνη των πελατών της. Το ζήτημα της συμμόρφωσης είναι ιδιαιτέρως πολύπλοκο και απαιτεί τη λήψη αποτελεσματικών μέτρων τα οποία ταυτόχρονα θα κοστίσουν όσο το δυνατόν λιγότερο στην εταιρεία.
Η εμπειρία μου, τέλος, στον Ευρωπαίο Επόπτη (EDPS) ήταν εξαιρετική, κυρίως λόγω του ότι είδα από κοντά τον τρόπο με τον οποίο γίνονται οι ζυμώσεις σε ευρωπαϊκό επίπεδο και τον τρόπο με τον οποιο λαμβάνονται αποφάσεις και υιοθετούνται πολιτικές.
– Γιατί επέλεξες την οδό των διδακτορικών σπουδών ως συνέχεια της επαγγελματικής σταδιοδρομίας σου;
Οι σπουδές σε επίπεδο διδακτορικού αποτελούσαν για εμένα έναν στόχο, ο οποίος πήρε πιο συγκεκριμένη μορφή κατά τη διάρκεια των μεταπτυχιακών μου σπουδών όταν δούλευα τη διπλωματική μου εργασία.
Η ερευνητική διαδικασία και όλη η διανοητική άσκηση στην οποία συνίσταται με γοήτευσε πολύ. Η έρευνα βασίζεται στους εξής πυλώνες: την αποτύπωση ενός βασικού ερευνητικού ερωτήματος, τη χρήση της μεθοδολογίας, τη μελέτη της βιβλιογραφίας και την εξαγωγή συμπερασμάτων.
Ένα άλλο χαρακτηριστικό της διαδικασίας είναι η συνεχής μετάβαση από το γενικό στο ειδικό (και αντίστροφα) και από τη θεωρία στην πράξη (και αντίστροφα).
Για να δώσω ένα παράδειγμα, η ολοκληρωμένη μελέτη μιας νομικής υποχρέωσης του ΓΚΠΔ, απαιτεί τη μελέτη όχι μόνο του ΓΚΠΔ στο σύνολό του, αλλά και στοιχείων της νομικής επιστήμης εν γένει. Αυτό θα πρέπει να γίνει με ταυτόχρονη διερεύνηση του τι συμβαίνει στην πράξη με βάση και τις δυσκολίες και την αποτελεσματικότητα.
Η διαδικασία λοιπόν που πολύ σύντομα περιέγραψα σε συνδυασμό με το πολύ ενδιαφέρον, σύγχρονο και πολυδιάστατο θέμα της προστασίας προσωπικών δεδομένων είναι οι βασικοί λόγοι για τους οποίους επέλεξα τις διδακτορικές σπουδές.
– Το διδακτορικό σου είναι διεπιστημονικό, καθώς συντονίζεται τόσο από ένα ερευνητικό κέντρο Δικαίου και Επιχειρήσεων αλλά και από ένα Ινστιτούτο Συστημάτων Πληροφορικής και Συστημάτων Υπολογιστών. Πώς είναι να δουλεύεις ως νομικός μαζί με επαγγελματίες από διαφορετικούς επιστημονικούς κλάδους σε κοινά ερευνητικά προγράμματα;
Θα έλεγα πως η διεπιστημονικότητα είναι αναγκαία προϋπόθεση για μια ολοκληρωμένη και σε βάθος κατανόηση κι εκτίμηση των σύγχρονων προκλήσεων.
Το πώς προσεγγίζεις ένα ζήτημα είναι συνάρτηση και των χαρακτηριστικών αυτού του ζητήματος. Για να γίνω πιο συγκεκριμένη, στα ζητήματα δικαίου και τεχνολογίας, το να ερμηνεύσεις μια νομοθετική διάταξη που αφορά στους κινδύνους που προκύπτουν από τη χρήση αλγορίθμων χωρίς να λάβεις υπόψη τη λειτουργία της συγκεκριμένης τεχνολογίας θα οδηγήσει σε μια ερμηνεία κενή.
Αυτό σημαίνει ότι ως νομικός οφείλω να αλληλεπιδρώ και με άλλους τομείς σχετικούς με το αντικείμενο της έρευνάς μου. Κατά τη γνώμη μου πρέπει αρχικά να αφουγκραστούμε την αναγκαιότητα αυτής της αλληλεπίδρασης (το οποίο πιστεύω ότι συμβαίνει) και να εκπαιδευτούμε στην ανάπτυξη εργαλείων για μια τέτοια επικοινωνία.
Σε αυτό το πλαίσιο προσπαθώ να τοποθετήσω τη διδακτορική μου έρευνα. Η συνύπαρξη και η συνεργασία με ανθρώπους κυρίως από τον τομέα της πληροφορικής είναι μόνο ευχάριστη και προσφέρει διαφορετική οπτική και τρόπο σκέψης (και ενίοτε μεθοδολογίας) σε μια έρευνα που άλλως θα ήταν αμιγώς νομική.
Ο στόχος δεν είναι να λειτουργήσει ο ερευνητής συγκεντρωτικά ως προς τη γνώση (να γίνει δηλαδή ταυτόχρονα νομικός, κοινωνιολόγος, προγραμματιστής κλπ) αλλά πρώτον να μπορεί να διαγνώσει ποιες είναι οι επιστήμες τις οποίες οφείλει να εξετάσει για μια πιο ολοκληρωμένη έρευνα και δεύτερον να μπορεί να επικοινωνήσει με τους ειδικούς των λοιπών σχετικών επιστημών και να κατανοήσει τις σημαντικές για την έρευνά του πληροφορίες.
– Οι διδακτορικές σου σπουδές επικεντρώνονται στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Μίλησε μας περισσότερο για το ζήτημα αυτό και για τις προκλήσεις που έχεις συναντήσει έως σήμερα.
Όντως, η έρευνά μου αφορά σε μία νέα νομική υποχρέωση υπό τον ΓΚΠΔ και σε μια συστατική, αυτής της υποχρέωσης, έννοια (‘υψηλός κίνδυνος’) εν πολλοίς αχαρτογράφητη στον τομέα της προστασίας προσωπικών δεδομένων.
Η έννοια του ΄κινδύνου΄ συναντάται σε πολλές υποχρεώσεις του ΓΚΠΔ και αποτελεί ένα από τα βασικά κριτήρια για τη διαμόρφωση της πολιτικής μιας εταιρείας σε σχέση με την προστασία των δεδομένων που επεξεργάζεται.
Με απλά λόγια, όσο μεγαλύτερος ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τόσο περισσότερες και πολυπλοκότερες οι υποχρεώσεις των υπεύθυνων επεξεργασίας.
Αυτό προϋποθέτει την ύπαρξη εργαλείων για να εντοπιστεί και να μετρηθεί ο κίνδυνος. Ένα βασικό στοιχείο το οποίo θα πρέπει να είναι ξεκάθαρο όταν μιλάμε για τον ‘κίνδυνο’ υπό τον ΓΚΠΔ, είναι ότι ο νομοθέτης δεν αναφέρεται αποκλειστικά και μόνο σε κινδύνους που αφορούν στην ασφάλεια των συστημάτων (security risks) αλλά αναφέρεται επιπλέον σε κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (risks to the rights and freedoms of natural persons).
Έτσι λοιπόν, το να εντοπίσει και να μετρήσει ένας υπεύθυνος επεξεργασίας τον κίνδυνο επίθεσης στα ηλεκτρονικά του συστήματα και το να λάβει μέτρα προκειμένου να μειώσει όσο το δυνατόν περισσότερο την πιθανότητα παραβίασης και υποκλοπής δεδομένων, είναι υψίστης σημασίας, όμως δεν αρκεί.
Οφείλει επιπλέον να εντοπίσει κινδύνους που μπορεί να παρουσιαστούν στα θεμελιώδη δικαιώματα των ανθρώπων, όπως για παράδειγμα στο δικαίωμα στην ελευθερία της έκφρασης, της σκέψης κλπ.
Κι ενώ είμαστε αρκετά εξοικειωμένοι με τους κινδύνους που παρουσιάζονται στο επίπεδο ασφάλειας συστημάτων (ποιοί είναι, πώς μετριούνται, πώς αντιμετωπίζονται), δεν ισχύει το ίδιο με τους κινδύνους στα θεμελιώδη δικαιώματα λόγω της επεξεργασίας προσωπικών δεδομένων.
Βασικά ερωτήματα που εγείρονται είναι: με ποια μέθοδο εντοπίζουμε σε κάθε συγκεκριμένη περίπτωση ποια δικαιώματα και ποιες ελευθερίες μπορεί να τεθούν σε κίνδυνο λόγω της επεξεργασίας δεδομένων;
Είναι ο κίνδυνος μετρήσιμος κι αν ναι, ποια είναι τα εργαλεία εκείνα τα οποία θα εξασφαλίσουν μια (όσο το δυνατόν πιο) αντικειμενική μέτρηση του εν λόγω κινδύνου;
Ποιο είναι το σημείο εκείνο (και ποιος το καθορίζει) πέρα από το οποίο ένας κίνδυνος παύει να είναι νομικά αποδεκτός;
Αυτά είναι ορισμένα μόνο ερωτήματα τα οποία πρέπει να απαντηθούν πριν μιλήσουμε για τα μέτρα που χρειάζεται να ληφθούν για τη μείωση του ‘κινδύνου’. Η ερευνητική πρόκληση εν προκειμένω, βρίσκεται στη δημιουργία μιας νομικής μεθοδολογίας η οποία θα επιτρέπει τόσο τη μέτρηση του κινδύνου στα δικαιώματά μας όσο και στην αξιολόγηση της ορθότητας αυτής της μέτρησης.
Θα πρέπει δηλαδή να υπάρχει κοινό λεξιλόγιο, κοινά εργαλεία και κοινή αντίληψη απέναντι στην έννοια του ‘κινδύνου’. Αυτό ταυτόχρονα συμβάλλει στη βασική αρχή της νομικής βεβαιότητας αλλά και στην πιο αποτελεσματική προστασία των δικαιωμάτων και των ελευθεριών μας.
– Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων είναι άρρηκτα συνδεδεμένη με τη προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Θεωρείς ότι οι υπεύθυνοι επεξεργασίας δείχνουν τη δέουσα προσοχή στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων; Έχουν οι αρμόδιες ελεγκτικές αρχές προχωρήσει στην παροχή επαρκούς καθοδήγησης;
Είναι αρκετά δύσκολο να εκφέρω μια εμπεριστατωμένη άποψη σχετικά με τη στάση των υπεύθυνων επεξεργασίας απέναντι στη συγκεκριμένη νομική υποχρέωση.
Η αίσθηση που έχω μέχρι τώρα είναι πως, με εξαίρεση μεγάλες πολυεθνικές εταιρείες οι οποίες έχουν αναπτύξει ακόμα και αυτοματοποιημένα εργαλεία για την εκτίμηση αντικτύπου, εξακολουθεί να υπάρχει μια δυσκολία κατανόησης του τρόπου εφαρμογής αυτής της υποχρέωσης, κυρίως ως προς τη μεθοδολογία που πρέπει να χρησιμοποιηθεί.
Ωστόσο, τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) όσο και οι εθνικές εποπτικές Αρχές, έχουν σταδιακά παράσχει κατευθυντήριες οδηγίες ως προς τους τύπους της επεξεργασίας δεδομένων που ‘ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων’ καθώς και ως προς τα κριτήρια που πρέπει να λαμβάνονται υπόψη για μια τέτοια αξιολόγηση.
Παραδείγματα τύπων επεξεργασίας είναι η μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων, η επεξεργασία δεδομένων με τη χρήση νέων τεχνολογιών, ενώ κριτήρια αποτελούν η συστηματική παρακολούθηση, η επεξεργασία δεδομένων των εργαζομένων και των ανηλίκων κλπ.
Οι προαναφερθέντες τύποι επεξεργασίας και όσοι παρουσιάζουν κριτήρια με βάση τις οδηγίες των Αρχών πρέπει να υπόκεινται σε εκτίμηση αντικτύπου.
Οι οδηγίες αυτές είναι όντως σε μεγάλο βαθμό βοηθητικές. Ωστόσο, προσωπικά θεωρώ ότι χρειάζονται επιπλέον οδηγίες σχετικά με τον τρόπο που οι υπεύθυνοι επεξεργασίας οφείλουν να μετρούν το αν η πιθανότητα ή / και η ένταση του κινδύνου είναι υψηλή / μεσαία / χαμηλή.
Οδηγίες τέτοιου περιεχομένου θα ικανοποιούσαν και το αίτημα του νομοθέτη για ‘αντικειμενική’ αξιολόγηση του κινδύνου.
Για παράδειγμα, ένας υπεύθυνος επεξεργασίας λανθασμένα (όπως κρίνεται εκ του αποτελέσματος) αποφάσισε να μην πραγματοποιήσει εκτίμηση αντικτύπου μιας επεξεργασίας.
Καλείται να εξηγήσει είτε ενώπιον της Αρχής είτε ενώπιον του Δικαστηρίου τον τρόπο (μέθοδο) με τον οποίο κατέληξε στο συμπέρασμα ότι ο κίνδυνος δεν ήταν ‘υψηλός’ και άρα δεν ενέπιπτε στην υποχρέωση εκτίμησης αντικτύπου.
Η έλλειψη κοινού τόπου μεταξύ του υπεύθυνου επεξεργασίας και της Αρχής ή του Δικαστηρίου, ως προς τη μέθοδο αξιολόγησης κινδύνου, μπορεί να οδηγήσει σε υψηλά πρόστιμα για τον υπεύθυνο επεξεργασίας. Το μικρό αυτό παράδειγμα φανερώνει το πρόβλημα που μπορεί να προκύψει από την έλλειψη κατευθυντήριων οδηγιών ως προς τη μέτρηση ‘κινδύνου’.
– Οι καθηγητές που επιβλέπουν τη διδακτορική σου έρευνα, ήτοι Mireille Hildebrandt, Βart Jacobs και Corjo Jansen, είναι πολύ γνωστές προσωπικότητες στον τομέα με μεγάλη ακαδημαϊκή συνεισφορά. Πώς είναι να δουλεύεις δίπλα τους και να μαθαίνεις από αυτούς;
Οι επιβλέποντες καθηγητές μου αποτελούν έναν από τους πιο σημαντικούς λόγους για τον οποίο επέλεξα να προχωρήσω στις συγκεκριμένες διδακτορικές σπουδές.
Είναι τρεις επιστήμονες καταξιωμένοι στον τομέα τους, με πολύ μεγάλη εμπειρία στην επίβλεψη διδακτορικών διατριβών. Με αφορμή αυτή την ερώτηση, θα ήθελα να τονίσω το εξής.
Οι επιβλέποντες καθηγητές είναι ίσως το πιο σημαντικό κριτήριο για να επιλέξει ένας νέος επιστήμονας το δρόμο του διδακτορικού.
Κατά τη γνώμη μου, είναι κριτήριο πιο σημαντικό ακόμα και από το ίδιο το θέμα της διατριβής για το λόγο ότι ο επιβλέπων καθηγητής είναι εκείνος ο οποίος θα σε καθοδηγήσει στην (δύσκολη και περίπλοκη) ερευνητική διαδικασία.
Θα πρέπει λοιπόν να είναι άνθρωπος με τον οποίο μπορείς να συνεννοηθείς, να μπορείς να εκφράσεις τον οποιοδήποτε προβληματισμό σου και στον οποίο μπορείς να στηριχθείς και να νιώσεις ασφαλής. Είναι το προστατευτικό σου δίχτυ με λίγα λόγια. Από αυτή την άποψη, λοιπόν, αισθάνομαι κάτι παραπάνω από τυχερή.
– Έχεις συμμετάσχει σε πληθώρα συνεδρίων για να παρουσιάσεις την ακαδημαϊκή σου έρευνα, όπως το «Computers, Privacy, and Data Protection (CPDP)» στις Βρυξέλλες, το «British & Irish Law, Education and Technology Conference (BILETA)» στο Μπέλφαστ, και το «Living in the Internet of Things: Cybersecurity of the ΙοΤ» στο Λονδίνο. Πόσο σημαντικό είναι για τους ακαδημαϊκούς ερευνητές να συμμετέχουν από κοινού με ειδικούς που εκπροσωπούν άλλους τομείς όπως τις οργανώσεις της κοινωνίας των πολιτών, σε τέτοια συνέδρια;
Η συμμετοχή σε συνέδρια είναι κατά τη γνώμη μου μια δραστηριότητα μεγάλης σημασίας για έναν ερευνητή. Ο βασικός λόγος είναι διότι προσδίδει εξωστρέφεια στην έρευνά του και ταυτόχρονα τον τοποθετεί ως ισάξιο μέλος μιας κοινότητας.
Η προσωπική μου εμπειρία δείχνει πως αυτού του είδους η συμμετοχή είναι πολλαπλώς ευεργετική. Αρχικά διότι καλείσαι να παρουσιάσεις με απλό και κατανοητό τρόπο τόσο την έρευνά σου όσο και τη σημασία αυτής.
Κατά δεύτερον διότι σου δίνεται η δυνατότητα να λάβεις σχόλια, ερωτήσεις, κριτική και με αυτό τον τρόπο να βελτιώσεις ή ακόμα και να αναθεωρήσεις συμπεράσματα.
Έτσι λοιπόν, ο επιστήμονας καταφέρνει να βγει έξω από τα όρια της ακαδημαϊκής κοινότητας και να μπολιάσει τον τρόπο σκέψης και έρευνας με στοιχεία και απόψεις ανθρώπων που ανήκουν σε παρεμφερή ή ακόμα και σε διαφορετικά ερευνητικά πεδία.
Πιστεύω πως με αυτό τον τρόπο απαντάω και στην ερώτησή σας. Η επικοινωνία και η συνεργασία μελών της ακαδημαϊκής κοινότητας με εκπροσώπους άλλων φορέων συμβάλλει σε μια ολιστική προσέγγιση ενός θέματος και αποσοβεί τον κίνδυνο της μονομέρειας στην έρευνα (ο οποίος ορισμένες φορές ελλοχεύει).
Αυτό έχει γίνει αντιληπτό και από τους διοργανωτές μεγάλων συνεδρίων, οι οποίοι προσπαθούν να προσδώσουν διεπιστημονικότητα στα συνέδρια, κυρίως του τομέα δικαίου και τεχνολογίας.
Παραδείγματα συνεδρίων που έχουν υιοθετήσει αυτή τη λογική, είναι όσα αναφέρετε στην ερώτησή σας. Ένα πρόσφατο παράδειγμα αποτελεί το διεθνούς απήχησης συνέδριο ACM FAT Conference, το οποίο μόλις πραγματοποιήθηκε στη Βαρκελώνη τον Ιανουάριο του 2020.
Στην περίπτωση αυτή οι διοργανωτές έκαναν μια σημαντική στροφή στο περιεχόμενο του συνεδρίου, απευθύνοντας κάλεσμα σε νομικούς, κοινωνιολόγους, και ανθρώπους άλλων ειδικοτήτων να συμμετάσχουν και να προσδώσουν διεπιστημονικότητα στο εν λόγω συνέδριο.
Έρευνα Freedom House: Σχεδόν το 90% των χρηστών του διαδικτύου παρακολουθούνται
Γράφει ο Νικόδημος Καλλιντέρης*
Μια εκτεταμένη έρευνα που έλαβε χώρα σε 65 κράτη δημοσιεύτηκε το Νοέμβριο από τον ανεξάρτητο οργανισμό Freedom House που εδρεύει στις ΗΠΑ και σκοπό έχει την ανάδειξη ζητημάτων περί των δικαιωμάτων και των πολιτικών ελευθεριών στο διαδίκτυο.
Στο σύντομο αυτό άρθρο θα προσπαθήσουμε να αναδείξουμε τις βασικές πτυχές της, οι οποίες ομολογουμένως έχουν προκαλέσει ήδη έντονες συζητήσεις και προβληματισμό καθότι ανατρέπουν πολλά θέσφατα περί της ελευθερίας των χρηστών στον παγκόσμιο διαδικτυακό ιστό.
Κατά την έρευνα, λοιπόν, πρόσβαση στο διαδίκτυο έχουν περί τα 3,8 δισεκατομμύρια πολίτες διεθνώς, εκ των οποίων το 71 % ζουν σε κράτη, όπου άνθρωποι έχουν διωχθεί και φυλακιστεί για αναρτήσεις πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου, το 65 % σε χώρες όπου πολίτες έχουν δεχθεί επιθέσεις ή και δολοφονήθηκαν λόγω της διαδικτυακής τους δραστηριότητας, το 59 % σε μέρη όπου οι κρατικές αρχές διέθεταν εντεταλμένο προσωπικό για χειραγώγηση της κοινής γνώμης μέσω στοχευμένης ανάρτησης και διάδοσης σχολίων και προπαγανδιστικού υλικού ενώ το 56 % σε κράτη όπου διαδικτυακές αναρτήσεις πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου αφαιρέθηκαν με κρατική παρέμβαση.
Λαμβάνοντας υπόψη την ελευθερία πρόσβασης στο διαδίκτυο, την άσκηση του δικαιώματος της ελευθερίας της έκφρασης σε αυτό καθώς και τον σεβασμό της ιδιωτικότητας των χρηστών, η μελέτη κατατάσσει τα κράτη σε τρεις (3) κατηγορίες ανάλογα με την βαθμολογία που συγκεντρώνουν.
Σύμφωνα με την βαθμονόμηση που βασίζεται σε ένα ερωτηματολόγιο 21 ερωτήσεων:
– το 35% των κρατών αξιολογήθηκαν ως «μη ελεύθερα»,
– το 32% «εν μέρει ελεύθερα» και,
– μόλις το 20% ικανοποίησαν τα κριτήρια για ένα διαδίκτυο εν τοις πράγμασι ελεύθερο.
Την πρώτη θέση στην θωράκιση της ελευθερίας στο διαδίκτυο κατέλαβε η Ισλανδία ενώ η Κίνα κατετάγη στην τελευταία θέση για τέταρτη συνεχή χρονιά
Την πρώτη θέση στην θωράκιση της ελευθερίας στο διαδίκτυο κατέλαβε η Ισλανδία, καθώς δεν εντοπίστηκαν ποινικές διώξεις εις βάρος χρηστών για τον διαδικτυακό τους λόγο ενώ υπάρχει σχεδόν καθολική συνδεσιμότητα με ταυτόχρονη ισχυρή προστασία των δικαιωμάτων των χρηστών.
Από την άλλη, η Κίνα κατετάγη στην τελευταία θέση για τέταρτη συνεχή χρονιά λόγω των διευρυμένων περιστατικών διαδικτυακής λογοκρισίας και κατάργησης λογαριασμών σε σελίδες κοινωνικής δικτύωσης εξαιτίας «αποκλίνουσας» συμπεριφοράς.
Δεδομένου ότι και ο κυβερνοχώρος αποτελεί πεδίο πολιτικού διαλόγου και αντιπαράθεσης η ελευθερία ροή της πληροφορίας σε αυτόν παίζει καθοριστικό ρόλο στο αποτέλεσμα του πολιτικού «παιχνιδιού». Η έρευνα εντόπισε 24 κράτη στα οποία κρατικοί και μη κρατικοί δρώντες συμμετείχαν σε εκτεταμένες εκστρατείες ελέγχου και διαμόρφωσης του περιεχομένου στο διαδίκτυο κατά την διάρκεια προεκλογικών περιόδων κυρίως μέσω προπαγανδιστικών ειδήσεων, παραπληροφόρησης (fake news), πληρωμένων σχολιαστών, αυτοματοποιημένων ρομπότ που αλληλεπιδρούν ως πραγματικοί χρήστες με τεχνολογίες τεχνητής νοημοσύνης (bots) και παραβίασης και «αεροπειρατείας» λογαριασμών σε σελίδες κοινωνικής δικτύωσης.
Στην Αίγυπτο, για παράδειγμα, παύθηκαν 34.000 ιστοσελίδες για να εμποδίσουν την διάδοση της αντιπολιτευτικής ρητορικής, ενώ σε άλλες χώρες όπως στην Τουρκία, στην Ουκρανία και στην Ινδία έλαβαν χώρα κυβερνοεπιθέσεις σε ιστοσελίδες πολιτικού περιεχομένου, χρησιμοποιήθηκαν μέσα προπαγάνδας βασισμένης σε ψευδή στοιχεία και συνελήφθησαν πολιτικοί ακτιβιστές για την διαδικτυακή τους δράση.
Εξαιρετικό ενδιαφέρον παρουσιάζει το κεφάλαιο της έρευνας για την ψηφιακή κατόπτευση των σελίδων κοινωνικής δικτύωσης από τις κυβερνήσεις και την μαζική συλλογή προσωπικών δεδομένων των πολιτών.
Από τα 65 κράτη που διερευνήθηκαν, 40 από αυτά διαθέτουν τεχνολογικά προηγμένα συστήματα παρακολούθησης της διαδικτυακής συμπεριφοράς με την χρήση προγραμμάτων μηχανικής εκμάθησης (machine learning) και τεχνητής νοημοσύνης από το οποίο συνάγεται ότι το 89 % των διαδικτυακών χρηστών παγκοσμίως (δηλ. 3 δισεκατομμύρια) παρακολουθούνται.
Κι ενώ ίσως περίμενε κανείς τέτοιες μέθοδοι να χρησιμοποιούνται μόνο σε ανελεύθερα καθεστώτα, η έρευνα αποδεικνύει ότι τέτοιες πολιτικές εφαρμόζονται ευρέως και σε κράτη του δυτικού κόσμου υπό το πρόσχημα συχνά της καταπολέμησης της σοβαρής εγκληματικότητας όπως της τρομοκρατίας, της παιδικής κακοποίησης ή της εμπορίας ναρκωτικών ουσιών.
Με αμφιλεγόμενες μεθόδους ψηφιακής επιτήρησης σύγχρονες προηγμένες χώρες καταγράφουν ταξιδιώτες λόγω των πολιτικών τους πεποιθήσεων, παρακολουθούν την συμπεριφορά ακόμα και μαθητών και «φακελώνουν» πολιτικούς ακτιβιστές και πολίτες που συμμετέχουν σε πορείες διαμαρτυρίας.
Συνολικά, σε 47 από τα 65 κράτη όπου διεξήχθη η έρευνα παρατηρήθηκαν συλλήψεις χρηστών για τον διαδικτυακό τους λόγο πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου κατόπιν διευρυμένης ψηφιακής παρακολούθησης.
Στο Ηνωμένο Βασίλειο, για παράδειγμα, οι αστυνομικές αρχές του Λονδίνου παρακολουθούσαν την διαδικτυακή συμπεριφορά 9.000 ακτιβιστών όλου του πολιτικού φάσματος με την πλειοψηφία αυτών δίχως ποινικό παρελθόν χρησιμοποιώντας συστήματα γεωεντοπισμού και αναλύοντας τις αναρτήσεις τους σε Facebook, Twitter και άλλες πλατφόρμες.
Κοντά στα ανωτέρω οφείλουμε να λάβουμε υπόψη ότι πλέον τα περισσότερα κράτη διαθέτουν εξελιγμένα εργαλεία τεχνητής νοημοσύνης που προσφέρουν στις κυβερνήσεις ανυπολόγιστες δυνατότητες ψηφιακής επιτήρησης των πολιτών όσο ποτέ άλλοτε με βαρύτατες επιπτώσεις σε θεμελιώδη ανθρώπινα δικαιώματα.
Η επιβίωση της δημοκρατίας απαιτεί και επιτάσσει την ύπαρξης μιας δημόσιας σφαίρας, τόσο εκτός δικτύου όσο και στο διαδίκτυο, όπου οι πολίτες θα μπορούν να δραστηριοποιούνται χωρίς τον φόβο μιας συνεχούς επιτήρησης.
*O Νικόδημος Καλλιντέρης είναι νομικός με εξειδίκευση στο Δημόσιο Δίκαιο (ΜΔΕ Δημοσίου Δικαίου Νομικής ΕΚΠΑ). Πεδία έρευνας και ενδιαφέροντος του αποτελούν το απόρρητο των τηλεπικοινωνιών, το Διαδίκτυο των Πραγμάτων (Internet of Things) καθώς και οι τεχνολογίες Βig Data, Machine Learning και η Tεχνητή Nοημοσύνη.
Cookies: η συμβατότητα των ιστοσελίδων με τον Kανονισμό GDPR και την Oδηγία e-Privacy
Γράφει η Καλλιρρόη Γραμμένου*
Οι επισκέπτες ιστοσελίδων βρίσκονται συχνά αντιμέτωποι με δυσνόητες, πυκνογραμμένες πολιτικές απορρήτου και ρυθμίσεις cookies.
Οι περισσότεροι χρήστες δεν έχουν τις τεχνικές γνώσεις να αξιολογήσουν εάν μία ιστοσελίδα συμμορφώνεται προς το ισχύον κανονιστικό πλαίσιο και εάν έχουν πραγματική ή κατ’ επίφαση επιλογή ως προς την τοποθέτηση cookies και την παρακολούθηση της διαδικτυακής συμπεριφοράς και των προτιμήσεών τους.
Τα Cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στη συσκευή του επισκέπτη μίας ιστοσελίδας. Πολλά από αυτά χρησιμοποιούνται για τη βελτίωση της χρηστικότητας ή της λειτουργικότητας ιστοσελίδων/ εφαρμογών.
Η θέση σε ισχύ του GDPR (Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) περιπλέκει ακόμα περισσότερο το τοπίο και δημιουργεί συχνά απορίες και σημεία σύγχυσης.
Η Γαλλική αρχή προστασίας δεδομένων (CNIL) και η Ισπανική Αρχή, με τις νέες κατευθυντήριες γραμμές που εξέδωσαν και το δικαστήριο της ΕΕ, με την σημαντική απόφαση Planet 49 GmbH (υπόθεση C-673/17) παρέχουν χρήσιμες διευκρινίσεις ως προς τις απαιτήσεις συγκατάθεσης των χρηστών για την αποθήκευση cookies στον εξοπλισμό τους.
Παρακάτω επιχειρούμε να εξηγήσουμε με απλό τρόπο τη σύζευξη του κανονισμού GDPR και της οδηγίας ePrivacy αλλά και να δώσουμε κάποιες ενδείξεις στους χρήστες σχετικά με την κατανόηση και την ορθότητα των πολιτικών cookies που χρησιμοποιούν οι πάροχοι ιστοσελίδων.
-
Οδηγία ePrivacy και GDPR
Η εγκατάσταση και η χρήση «cookies» ρυθμίζεται από την παράγραφο 5 του άρθρου 4 του ν. 3471/2006 (ο οποίος μετέφερε στην ελληνική έννομη τάξη την Οδηγία ePrivacy – 2002/58/ΕΚ (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, γνωστή ως “cookies directive”).
Η βασική αρχή είναι ότι η εγκατάσταση και χρήση cookies επιτρέπεται μόνο με τη συγκατάθεση του χρήστη.
Υπάρχει μία λανθασμένη αντίληψη ότι όλες οι ρυθμίσεις απορρήτου, συμπεριλαμβανομένων των cookies, ανάγονται μόνο στον GDPR. Το δικαστήριο της ΕΕ στην απόφαση Planet 49 αναφέρεται επίσης στην οδηγία ePrivacy 2002/58.
Σκοπός της οδηγίας είναι η προστασία της ιδιωτικής σφαίρας των χρηστών, ανεξαρτήτως εάν συλλέγονται ή όχι προσωπικά δεδομένα μέσω τεχνολογιών ηλεκτρονικής επικοινωνίας.
Είναι σημαντικό να κάνουμε την εξής διάκριση:
- Η οδηγία ePrivacy (cookies directive) ρυθμίζει τον δίαυλο επικοινωνίας (ηλεκτρονική επικοινωνία). Ο κανόνας σχετικά με τη λήψη συγκατάθεσης για την τοποθέτηση cookies εφαρμόζεται ανεξαρτήτως εάν γίνεται επεξεργασία προσωπικών δεδομένων ή όχι.
- Ο ΓΚΠΔ (GDPR) ρυθμίζει τις νομικές βάσεις για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ορίζει την έννοια της συγκατάθεσης. Ο Κανονισμός ορίζει ότι η συγκατάθεση δεν μπορεί να είναι ελεύθερη εάν για την παροχή υπηρεσίας ζητείται συγκατάθεση που δεν είναι αναγκαία για τον συγκεκριμένο σκοπό.
Ως πρακτικό παράδειγμα θα μπορούσαμε να αναφέρουμε την περίπτωση ιστοσελίδας η οποία ζητά συγκατάθεση του επισκέπτη για τη χρήση cookies, ενημερώνοντάς τον ότι με τη συγκατάθεσή του αυτή συμφωνεί επίσης στη χρήση των στοιχείων του για επιπλέον σκοπούς, πλην της ζητηθείσας υπηρεσίας (bundled consent).
Ο GDPR ορίζει με σαφήνεια την έννοια της έγκυρης συγκατάθεσης στο άρθρο 7. Επιπλέον, στην αιτιολογική σκέψη 32 του GDPR, αναφέρεται ότι « Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ των δεδομένων που τον αφορούν. […] η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.»
-
Το τέλος του soft opt-in
Μέχρι σήμερα, το τοπίο σχετικά με τη χρήση των cookies και τις ρυθμίσεις απορρήτου των ιστοσελίδων (sites) ήταν νεφελώδες και διόλου ξεκάθαρο. Αυτό οφειλόταν στις διαφορές ως προς τη μεταφορά της οδηγίας ePrivacy στο εσωτερικό δίκαιο κάθε χώρας της ΕΕ αλλά και στην ανοχή που επεδείκνυαν κάποιες αρχές προστασίας δεδομένων σε χώρες όπως η Γαλλία, το Ηνωμένο Βασίλειο και η Γερμανία στη σιωπηρή συγκατάθεση (το επονομαζόμενο “soft opt-in”).
-
Τι σημαίνει αυτό στην πράξη;
Όταν ο χρήστης επισκέπτεται μία ιστοσελίδα για πρώτη φορά, στο επάνω ή στο κάτω μέρος της ιστοσελίδας υπάρχει ένα cookie banner. Κλείνοντας το ή συνεχίζοντας την επίσκεψη στην ιστοσελίδα (χωρίς καμία περαιτέρω δήλωση), συνάγεται ότι ο χρήστης συναινεί σιωπηρά, άρα αποδέχεται την χρήση των cookies. Πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν αυτό το σύστημα.
Παράδειγμα: Cookie banner σε site με το ακόλουθο περιεχόμενο: «Με τη συνέχιση της πλοήγησης αποδέχεστε τη χρήση των cookies».
Η Γαλλική αρχή CNIL ανακοίνωσε ότι αυτή η πρακτική δεν είναι πλέον συμβατή με τον κανονισμό GDPR διότι η σιωπηρή συγκατάθεση δεν είναι έγκυρη.
Εντούτοις, η CNIL όρισε μεταβατική περίοδο 12 μηνών ώστε οι πάροχοι ιστοσελίδων να προσαρμόσουν κατάλληλα τις ρυθμίσεις cookies.
Αυτό οφείλεται επίσης στο ότι ο κανονισμός ePrivacy δεν έχει τεθεί ακόμα σε ισχύ και παραμένουν σημαντικές αποκλίσεις ως προς την εφαρμογή της οδηγίας ePrivacy στο δίκαιο κάθε κράτους μέλους της ΕΕ. Με τη θέση σε ισχύ του κανονισμού ePrivacy, θα ισχύει ένα ενιαίο καθεστώς για όλα τα κράτη μέλη της ΕΕ, επομένως οι πάροχοι ιστοσελίδων θα πρέπει να υπαχθούν σε ομοιογενές καθεστώς συμμόρφωσης ως προς την χρήση cookies. Η γαλλική αρχή αποφάσισε να μην περιμένει τη θέση σε ισχύ του επερχόμενου κανονισμού ePrivacy προκειμένου να επιβάλλει τη συμμόρφωση των παρόχων ιστοσελίδων με ενιαία πρότυπα ρυθμίσεων απορρήτου.
-
Τι πρέπει να ελέγχουν οι χρήστες προκειμένου να καταλάβουν αν μία ιστοσελίδα εφαρμόζει σωστά τη νομοθεσία για τα cookies;
Σύμφωνα με τις τελευταίες νομολογιακές εξελίξεις και τις κατευθυντήριες γραμμές διαφόρων Αρχών προστασίας δεδομένων προσωπικού χαρακτήρα (με πιο πρόσφατες της οδηγίες της Ισπανικής Αρχής), οι επισκέπτες ιστοσελίδων πρέπει να λάβουν υπόψη τους τα εξής προκειμένου να αποφύγουν την τοποθέτηση ανεπιθύμητων cookies και να προσαρμόσουν τις παραμέτρους απορρήτου όπως επιθυμούν:
-Δεν απαιτείται προηγούμενη συγκατάθεση του χρήστη μόνο για τα λειτουργικά cookies (functional cookies) που είναι απολύτως απαραίτητα για τη λειτουργία της ιστοσελίδας, για την εκτέλεση ηλεκτρονικής επικοινωνίας ή για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας. Χωρίς τη χρήση λειτουργικών cookies είναι αδύνατη η περιήγηση του επισκέπτη στην ιστοσελίδα.
-Για τα υπόλοιπα είδη cookies (πλην των λεγόμενων functional cookies) απαιτείται ενημέρωση του χρήστη και παροχή δυνατότητας να συγκατατεθεί ρητά, με ρητή και θετική ενέργεια (επιλέγοντας ο ίδιος το αντίστοιχο τετραγωνίδιο) ή να αρνηθεί την τοποθέτηση των cookies στον υπολογιστή του (παροχή επιλογών ανά κατηγορία cookies και όχι για όλα αδιακρίτως).
-Η ιστοσελίδα θα πρέπει να παρέχει ενημέρωση στον χρήστη όχι μόνο σχετικά με τα cookies που τοποθετεί στον υπολογιστή του χρήστη (“First Party” Cookie) αλλά και σχετικά με τα cookies από Τρίτα Μέρη (third-party cookies) κυρίως για τους σκοπούς συμπεριφορικής διαφήμισης (Online behavioural advertising – OBA). Κάθε ιστοσελίδα που χρησιμοποιεί συμπεριφορική διαφήμιση οφείλει να παρέχει πληροφορίες σχετικά με την συλλογή και την χρήση δεδομένων, τις οποίες οι χρήστες πρέπει να είναι σε θέση να εντοπίσουν με ευχέρεια.
Σύμφωνα με τις οδηγίες της Ισπανικής Αρχής, πληροφορίες σχετικά με cookies από Τρίτα Μέρη μπορούν να παρέχονται με αναπτυσσόμενη λίστα (drop-down) ή με αναδυόμενο κείμενο (pop-up).
-Οι επισκέπτες ιστοσελίδας πρέπει να παρέχουν τη συγκατάθεσή τους στην τοποθέτηση cookies κατά τρόπο ρητό και σαφή, δηλαδή με δήλωση ή με σαφή θετική ενέργεια (π.χ. με συμπλήρωση τετραγωνιδίου). Κατά συνέπεια, τυχόν προσυμπληρωμένα τετραγωνίδια δεν συνεπάγονται ότι ο χρήστης συναινεί νομίμως στην επεξεργασία, διότι η συγκατάθεσή του δεν είναι ελεύθερη ούτε ρητή (Απόφαση Δικαστηρίου ΕΕ, Planet49 GmbH, σκέψεις 62, 63).
Συνεπώς, προεπιλεγμένο τετραγωνίδιο το οποίο οι χρήστες πρέπει να απο-επιλέξουν προκειμένου να αρνηθούν να δώσουν τη συγκατάθεσή τους δεν είναι συμβατό προς τον κανονισμό GDPR ούτε προς την οδηγία ePrivacy.
-Η πολιτική cookies πρέπει να παρουσιάζεται ευκρινώς και με απλή γλώσσα στην ιστοσελίδα. Η πολιτική πρέπει να περιγράφει με εύληπτο τρόπο τις διαθέσιμες ρυθμίσεις απορρήτου, καθώς και να παρέχει στον χρήστη τη δυνατότητα επιλογής των ρυθμίσεων απορρήτου ανά σκοπό, χωρίς προεπιλεγμένες από τον πάροχο ρυθμίσεις (αρχή της διαφάνειας).
-Οι πληροφορίες τις οποίες ο πάροχος υπηρεσιών πρέπει να παρέχει στον επισκέπτη της ιστοσελίδας περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς και το εάν τρίτοι πάροχοι μπορούν να έχουν πρόσβαση στα cookies (Απόφαση Δικαστηρίου ΕΕ, υπόθεση Planet49 GmbH).
-
Άλλα στοιχεία που πρέπει να προσέχουν οι χρήστες
Α) Λήψη ξεχωριστής συγκατάθεσης ανά σκοπό επεξεργασίας
Ο χρήστης πρέπει να ελέγχει εάν το αίτημα για λήψη συγκατάθεσης είναι χωριστό ανά σκοπό επεξεργασίας.
Παράδειγμα: ιστοσελίδα ζητά από τον χρήστη να επιλέξει τετραγωνίδιο για να κατεβάσει μία εφαρμογή στο κινητό ή στον υπολογιστή του και ταυτόχρονα τον ενημερώνει ότι με τη συγκατάθεση αυτή συμφωνεί επίσης σε περαιτέρω χρήση των στοιχείων του για διαφημιστικούς σκοπούς. Εν προκειμένω, η συγκατάθεση δεν είναι ελεύθερη, ούτε συγκεκριμένη, διαβαθμισμένη και ελεύθερα ανακλητή. Στη συγκεκριμένη περίπτωση, η συγκατάθεση δίνεται για περισσότερους σκοπούς επεξεργασίας οι οποίοι δεν είναι διακριτοί και η άρνηση του χρήστη να δεχτεί την περαιτέρω επεξεργασία για σκοπούς marketing, τον αποκλείει από την πρόσβαση στην εφαρμογή (bundled consent).
Επομένως οι χρήστες πρέπει να αντιλαμβάνονται ότι μία λήψη συγκατάθεσης πρέπει να αντιστοιχεί σε έναν ευδιάκριτο σκοπό.
Β) Cookie walls
Το Δικαστήριο της ΕΕ στην πρόσφατη απόφαση Planet49 δεν ανέλυσε τη συμβατότητα των cookie walls προς τον κανονισμό GDPR. Ωστόσο, η Ολλανδική αρχή προστασίας δεδομένων διευκρίνισε ότι τα cookie walls δεν είναι συμβατά με τον GDPR.
- Πώς λειτουργούν τα cookie walls;
Τα cookie walls αρνούνται στον επισκέπτη την πρόσβαση σε μία ιστοσελίδα, εάν εκείνος δεν συγκατατεθεί στην εγκατάσταση λογισμικού παρακολούθησης (tracking) ή άλλων ψηφιακών μεθόδων για στοχευμένη διαφήμιση.
Σε αυτή την περίπτωση, οι επισκέπτες ιστοσελίδας εξαναγκάζονται να αποδεχτούν τη χρήση τους προκειμένου να έχουν πρόσβαση στο περιεχόμενό της. Συνεπώς, δεν υπάρχει ρητή και ελεύθερη συγκατάθεση κατά την έννοια του GDPR.
Γ) Soft opt-in
Όταν μία ιστοσελίδα ενημερώνει τον επισκέπτη ότι με την πλοήγησή του αποδέχεται τα cookies, δεν του δίνει τη δυνατότητα να λάβει γνώση και να δεχτεί ή να απορρίψει τη χρήση τους. Έτσι, δίνεται άδεια σε τρίτους παρόχους να εγκαταστήσουν cookies αλλά και να παρέχουν διαφημιστικό περιεχόμενο χωρίς κανέναν έλεγχο και συγκατάθεση από τον ίδιο τον χρήστη.
-
Η κούραση των χρηστών
Δεδομένου ότι δεν έχει τεθεί ακόμα σε ισχύ ο κανονισμός ePrivacy, δεν έχει αναληφθεί συντονισμένη δράση από όλες τις αρχές προστασίας δεδομένων. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (“ΑΠΔΠΧ”), πραγματοποίησε στις αρχές του 2019 ελέγχους σε 65 ιστοσελίδες και διαπίστωσε χαμηλό επίπεδο συμμόρφωσης με τον κανονισμό.
Μένει να δούμε εάν οι υπόλοιπες αρχές προστασίας δεδομένων θα ακολουθήσουν το παράδειγμα της γαλλικής αρχής CNIL και θα παρέχουν κατευθυντήριες γραμμές οι οποίες θα συμβάλλουν στη συμμόρφωση των παρόχων ιστοσελίδων με τις απαιτήσεις του GDPR και της οδηγίας ePrivacy.
Οι χρήστες πρέπει επίσης να αντιληφθούν ότι η πρόσβαση σε πολιτικές απορρήτου που είναι γραμμένες με απλό και κατανοητό τρόπο έχει ως σκοπό το σεβασμό της αρχής της διαφάνειας ως προς τη χρήση των δεδομένων τους, καθώς και την εξατομίκευση των προτιμήσεων απορρήτου, ούτως ώστε να μην εκτίθενται σε συστηματική παρακολούθηση και ανεπιθύμητη διαφήμιση.
Οι μη εξοικειωμένοι χρήστες συχνά δυσανασχετούν με τον αριθμό των ενεργειών που απαιτούνται ώστε να παρέχουν συγκατάθεση και θεωρούν τη διαδικασία ανώφελη (consent fatigue). Είναι ωστόσο χρήσιμο να διαθέτουν τις απαραίτητες γνώσεις προκειμένου να αποφύγουν την εγκατάσταση cookies από τρίτους παρόχους και το να εκθέτουν τις προτιμήσεις τους προς διαφημιστική εκμετάλλευση, χωρίς κανέναν έλεγχο και λογοδοσία. Σε ιστοσελίδα η οποία έχει διαμορφώσει σωστά τις ρυθμίσεις για τα cookies, η διαδικασία αυτή δε διαρκεί πολύ και αρκούν μερικά κλικ από τον χρήστη.
Σε περίπτωση που ο χρήστης εντοπίσει ότι μία ιστοσελίδα δε συμμορφώνεται με το ρυθμιστικό πλαίσιο για τα cookies, μπορεί να προσφύγει στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν πρόκειται για ελληνική ιστοσελίδα, μπορεί να προσφύγει στην ελληνική ΑΠΔΠΧ.
Σημειώνεται ότι η Homo Digitalis, πιστή στις αξίες της, δε χρησιμοποιεί cookies ή άλλες τεχνολογίες στην ιστοσελίδα της προκειμένου να καταγράψει τη δραστηριότητά σας.
*Η Καλλιρρόη Γραμμένου, LL.M., CIPP/E, είναι δικηγόρος Αθηνών, απόφοιτος της Νομικής σχολής του Α.Π.Θ., με LL.M. στο δίκαιο της ΕΕ από τα πανεπιστήμια Λουξεμβούργου/Nancy II. Έχει διατελέσει DPO και νομικός σύμβουλος του εκτελεστικού οργανισμού της ΕΕ CHAFEA. Έχει εργαστεί ως δικηγόρος και σύμβουλος προστασίας προσωπικών δεδομένων στην Ελλάδα και στο Λουξεμβούργο.
Αποζημίωση για ηθική βλάβη σύμφωνα με τον ΓΚΠΔ: Μια νέα περίπτωση
Γράφει ο Γιώργος Αρσένης*
Ένα δικαστήριο στην Αυστρία καταδίκασε μια επιχείρηση σε πληρωμή αποζημίωσης 800,00 Ευρώ σε ένα υποκείμενο δεδομένων για λόγους ηθικής βλάβης, σύμφωνα με το άρθρο 82 του ΓΚΠΔ (GDPR). Η απόφαση δεν έχει τεθεί ακόμα σε ισχύ, λόγω του ότι άσκησαν έφεση και οι δυο πλευρές. Αλλά, σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση, τότε η επιχείρηση κινδυνεύει -θεωρητικά- να βρεθεί μπροστά σε μια μαζική αγωγή, στην οποία εμπλέκονται περί τα 2 εκατομμύρια υποκείμενα δεδομένων. Φυσικά, η περίπτωση ελκύει το ενδιαφέρον διότι η έκβαση της αναμένεται να αποτελέσει δικαστικό προηγούμενο, με αποτέλεσμα μελλοντικές περιπτώσεις να βασιστούν πάνω σε αυτό το παράδειγμα.
Ας δούμε όμως τα πράγματα από την αρχή, για να καταλάβουμε ποιες επιπτώσεις μπορεί να έχει αυτή η εφαρμογή του άρθρου 82 του ΓΚΠΔ στο δίκαιο άλλων κρατών-μελών της Ευρωπαϊκής Ένωσης.
Profiling
Το ότι ένα ταχυδρομείο συλλέγει και αποθηκεύει συγκεκριμένα προσωπικά δεδομένα πελατών του, δεν είναι κάτι καινούργιο. Μετά όμως από αίτηση ενός υποκειμένου δεδομένων, αποκαλύφθηκε πως το Ταχυδρομείο της Αυστρίας αξιολόγησε και αποθήκευσε δεδομένα που αφορούσαν τις πολιτικές προτιμήσεις περίπου δύο εκατομμυρίων πελατών του.
Η επιχείρηση χρησιμοποίησε στατιστικές μεθόδους όπως το profiling, με στόχο να υπολογίσει τον βαθμό προσκόλλησης ενός ατόμου σε κάποιο αυστριακό κόμμα, βάσει των πολιτικών του πεποιθήσεων (π.χ. μεγάλη πιθανότητα προσκόλλησης στο κόμμα Α; μικρή πιθανότητα προσκόλλησης στο κόμμα Β). Σύμφωνα με δημοσιεύματα, φαίνεται ότι κανένας από τους πελάτες δεν είχε πληροφορηθεί ή δώσει την συγκατάθεση του για αυτήν την επεξεργασία και ότι σε συγκεκριμένες περιπτώσεις οι πληροφορίες αυτές πωλήθηκαν σε τρίτους.
Η ηθική βλάβη έχει τιμή
Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.
Το τοπικό δικαστήριο του Feldkirch, στο ομόσπονδο κρατίδιο Voralberg της Αυστρίας, όπου εκδικάστηκε η υπόθεση σε πρώτο βαθμό, έκρινε ότι η ενόχληση που ένιωσε ο μηνυτής λόγω του profiling στο οποίο υποβλήθηκε χωρίς να δώσει την συγκατάθεση του, συνιστά μη υλική ζημιά, για αυτό και επιδίκασε στον ενάγοντα 800,00 Ευρώ, από τα 2.500,00 Ευρώ που είχε απαιτήσει αρχικά.
Το δικαστήριο αναγνώρισε ότι οι πολιτικές πεποιθήσεις καθιστούν ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 9 του ΓΚΠΔ. Όμως, θεώρησε επίσης, ότι κάθε περίπτωση αντιλαμβανόμενη ως δυσμενή μεταχείριση ή παραβίαση δεν μπορεί να δίνει έναυσμα για διεκδίκηση αποζημιώσεων για μη υλικές ζημιές. Ωστόσο, το δικαστήριο έκρινε ότι σε αυτήν την περίπτωση παραβιάστηκαν θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.
Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.
Και τώρα;
Η απόφαση δεν αποτελεί έκπληξη. Το άρθρο 82 § 1 του ΓΚΠΔ προβλέπει ξεκάθαρα πληρωμή αποζημιώσεων για μη υλικές ζημιές. Όμως, με τα 2,2 εκατομμύρια εμπλεκόμενα υποκείμενα δεδομένων σε αυτήν την επεξεργασία και με απλά μαθηματικά προκύπτει το ποσό των 1,7 δις ευρώ.
Το σίγουρο είναι, ότι σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση του πρωτοδικείου, θα υπάρξει πληθώρα παρόμοιων υποθέσεων προς εκδίκαση. Αυτός είναι και ο λόγος που ήδη πολλές επιχειρήσεις, και στην γειτονική Γερμανία, εξειδικεύονται σε διαδικασίες όπως αυτή.
Η ανεξάρτητη αρχή
Μετά την απόφαση του τοπικού δικαστηρίου του Feldkirch στις αρχές Οκτωβρίου, προς το τέλος του ίδιου μήνα και συγκεκριμένα στις 29.10.2019, η αυστριακή αρχή προστασίας δεδομένων (Österreichische Datenschutzbehörde), ανακοίνωσε ότι επέβαλε διοικητική κύρωση ύψους 18 εκατομμυρίων ευρώ στο Ταχυδρομείο της Αυστρίας.
Πέραν των πολιτικών πεποιθήσεων, η Αρχή Προστασίας της Αυστρίας εξακρίβωσε περισσότερες παραβιάσεις. Μέσα από περαιτέρω επεξεργασίες, προέκυπταν στοιχεία σχετικά με την συχνότητα αποστολής δεμάτων, ή την συχνότητα αλλαγής κατοικίας, τα οποία χρησιμοποιούνταν για διαφημιστική προσέγγιση μέσω direct-marketing. Το ταχυδρομείο της Αυστρίας, που κατά το ήμισυ ανήκει στο κράτος, δήλωσε ότι θα κινηθεί δικαστικά εναντίον του διοικητικού μέτρου και δικαιολόγησε τον σκοπό της επεξεργασίας ως θεμιτή ανάλυση αγοράς.
Η ιδιαιτερότητα της ετυμηγορίας
Η ετυμηγορία στο Feldkirch δείχνει ότι τα δικαστήρια μπορούν να καταβάλλουν πληρωμές για «αντιξοότητες» λόγω πραγματικών ή υποτιθέμενων παραβιάσεων δεδομένων. Ο προσφεύγων στην δικαιοσύνη δήλωσε απλά ότι ‘ένιωσε ενοχλημένος’ για το τι έγινε, χωρίς δηλαδή να επικαλεστεί μια ηθική βλάβη που προκλήθηκε μέσα από κάποιο αποτέλεσμα της επεξεργασίας, όπως δυσφήμιση, κατάχρηση πνευματικής ιδιοκτησίας, παρενόχληση μέσω τηλεφωνημάτων ή emails. Μπορείτε να βρείτε εδώ την Απόφαση.
Σε αντίθεση με την ανεξάρτητη αρχή, που επέβαλε την κύρωση για τις πολλαπλές παραβιάσεις διατάξεων του GDPR, το δικαστήριο εστίασε την απόφαση του στην ενόχληση που ένιωσε ο μηνυτής. Η ηθική ζημιά προκλήθηκε από το γεγονός ότι μια εταιρεία επεξεργάζεται δεδομένα κατά παράβαση των διατάξεων του GDPR.
* Ο Γιώργος Αρσένης είναι IT Consultant και DPO. Απόφοιτος του Τμήματος Ειδίκευσης Προγραμματιστών του Ε.Π.Λ. Βέροιας με πολυετή πείρα σε θέματα IT Systems Maintenance & Support, σε χώρες της Ευρώπης. Έχει εργαστεί σε οργανισμούς της Ε.Ε. και στον ιδιωτικό τομέα. Έχει εμπειρία με δίκτυα τηλεπικοινωνιών, δίκτυα CISCO, scientific modelling και συστήματα εικονικών μηχανών. Ελεύθερος επαγγελματίας, εξειδικεύεται στην Διαχείριση Συστημάτων Ασφάλειας Πληροφοριών και Προστασία Προσωπικών Δεδομένων
Ηλεκτρονικά προσβάσιμες πηγές:
-
- https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes
- https://www.linkedin.com/pulse/landesgericht-feldkirch-kl%C3%A4ger-stehen-800-euro-f%C3%BCr-zu-tim-wybitul
- https://netzpolitik.org/2019/datenschutzgrundverordnung-18-millionen-euro-strafe-fuer-die-oesterreichische-post/
- https://www.addendum.org/datenhandel/schadenersatz/
Το Δικαίωμα Πρόσβασης
Γράφει η Μαρία – Αλεξάνδρα Παπουτσή *
Το δικαίωμα στην πρόσβαση αποτελεί – θα έλεγε κανείς – τον ακρογωνιαίο λίθο στην προστασία των προσωπικών δεδομένων και την κορωνίδα των δικαιωμάτων που αναγνωρίζονται από την ισχύουσα νομοθεσία στα υποκείμενα προσωπικών δεδομένων.
-Είναι κάποιο καινούριο δικαίωμα που θα πρέπει να γνωρίζω;
Το δικαίωμα στην πρόσβαση ενός υποκειμένου στα προσωπικά του δεδομένα κατοχυρώθηκε στην Ελλάδα ήδη από το 1997, συνεπώς δεν πρόκειται για κάποιο νέο δικαίωμα.
Ωστόσο, με την πρόσφατη αναθεώρηση του νομοθετικού πλαισίου για την προστασία προσωπικών δεδομένων, τόσο σε ευρωπαϊκό, όσο και σε εθνικό επίπεδο, η σημασία του δικαιώματος αυτού έχει επανέλθει στο προσκήνιο. Το δικαίωμα στην πρόσβαση αναγνωρίζεται σήμερα στο Άρθρο 15 του Γενικού Κανονισμού για την Προστασία Δεδομένων (γνωστότερος στα αγγλικά με το ακρωνύμιο «GDPR») και ορισμένοι περιορισμοί του εισήχθησαν με τον πρόσφατο Ν.4624/2019, ιδίως στα Άρθρα 29, 30 και 33.
-Τι είναι το δικαίωμα στην πρόσβαση;
Όταν μιλάμε για «δικαίωμα στην πρόσβαση», εννοούμε πρόσβαση στα προσωπικά σου δεδομένα. Πηγαίνοντας ένα βήμα πίσω, προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία σε εξατομικεύει ή μπορεί να σε εξατομικεύσει, όπως για παράδειγμα η ηλεκτρονική σου διεύθυνση, η φωτογραφία σου, οι αγοραστικές σου συνήθειες.
Το δικαίωμα πρόσβασης σου επιτρέπει να μάθεις, μεταξύ άλλων:
Α) ποια δεδομένα σου έχει ο οποιοσδήποτε οργανισμός.
«Οποιοσδήποτε» εννοούμε από τον οδοντίατρό σου, το γυμναστήριο της γειτονιάς στο οποίο έχεις συνδρομή, την αεροπορική εταιρία ή ταξιδιωτικό γραφείο που κλείνεις εισιτήρια, μέχρι και κολοσσούς των ψηφιακών μέσων όπως η Google, το Facebook, το Twitter.
B) πώς και γιατί χρησιμοποιεί τα δεδομένα σου.
Δηλαδή, μπορείς να μάθεις για ποιους σκοπούς και με ποιες μεθόδους επεξεργάζεται ο οργανισμός, η οντότητα αυτή, τα δεδομένα σου. Να μάθεις για παράδειγμα, εάν απλά τα χρησιμοποιεί για να σε βοηθήσει να βρεις αυτό που ψάχνεις, ή και για να δημιουργήσει το προφίλ σου με βάση τις αναζητήσεις σου και να σου προβάλει σχετικές διαφημίσεις.
Γ) σε ποιους τα στέλνει.
Αντικείμενο του δικαιώματος πρόσβασης είναι και η πληροφόρησή σου για το εάν ο οργανισμός στον οποίο έδωσες αρχικά τα προσωπικά σου δεδομένα, τα έχει μοιραστεί και με άλλους οργανισμούς και εάν ναι, ποιοι είναι αυτοί και για ποιους σκοπούς.
Δ) πόσο τα διατηρεί.
Ενημερώνεσαι για το εάν ο οργανισμός που έχει τα προσωπικά σου δεδομένα σκοπεύει να τα διατηρήσει για συγκεκριμένο χρονικό διάστημα και ποιο είναι αυτό το διάστημα.
Να θυμάσαι!
Το δικαίωμα στην πρόσβαση ασκείται δωρεάν.
Ο εκάστοτε οργανισμός οφείλει να σου απαντήσει και μάλιστα μέσα σε ένα μήνα από την άσκηση του δικαιώματος.
Μπορείς να ζητήσεις απλά να μάθεις πληροφορίες για τα δεδομένα σου ή και να ζητήσεις αντίγραφο αυτών.
Τα προσωπικά σου δεδομένα είναι καταρχήν «δικά σου» και όχι του κάθε οργανισμού στον οποίο τα έχεις κοινοποιήσει. Έχεις και μπορείς να ασκήσεις εξουσία πάνω στα δικά σου προσωπικά δεδομένα.
-Γιατί είναι σημαντικό το δικαίωμα στην πρόσβαση;
Θα πρέπει όλοι να γνωρίζουμε την ύπαρξη του δικαιώματος στην πρόσβαση, αλλά και πώς μπορούμε να το ασκήσουμε, καθώς αποτελεί το πρώτο βήμα στο να αποκτήσουμε (και πάλι!) τον έλεγχο των προσωπικών μας δεδομένων. Να μάθουμε τι γνωρίζουν για εμάς οι άλλοι και τι σκοπεύουν να κάνουν με αυτές τις πληροφορίες.
Επιπλέον, το δικαίωμα στην πρόσβαση διευκολύνει την άσκηση των υπόλοιπων δικαιωμάτων που μας αναγνωρίζονται από τη νομοθεσία για την προστασία προσωπικών δεδομένων, όπως το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα φορητότητας κλπ. Προκύπτει λογικά ότι θα πρέπει να γνωρίζεις ποια δεδομένα σου έχει κάποιος οργανισμός, ώστε μετά να αποφασίσεις π.χ. αν χρειάζεται διόρθωση ορισμένων λαθών, εάν επιθυμείς να διαγραφούν κάποια δεδομένα που δεν σε αντιπροσωπεύουν πια, ή εάν θέλεις να τα μεταφέρεις σε νέο πάροχο.
-Πώς μπορώ να ασκήσω το δικαίωμα αυτό;
Κάθε οργανισμός χρησιμοποιεί διαφορετικά μέσα με τα οποία μπορείς να ασκήσεις τα δικαιώματα προστασίας των προσωπικών σου δεδομένων, συμπεριλαμβανομένου του δικαιώματος πρόσβασης. Μπορείς να ζητήσεις πρόσβαση στα δεδομένα σου, επικοινωνώντας με τον αντίστοιχο οργανισμό μέσω ταχυδρομείου (ηλεκτρονικού ή απλού), μέσω κάποιας ειδικής φόρμας ή άλλου αντίστοιχου πεδίου που θα βρεις στην ιστοσελίδα του οργανισμού.
Γενικά, καλό είναι να αναζητήσεις για λέξεις κλειδιά όπως «Πολιτική Απορρήτου»/ «Privacy Policy», «ρυθμίσεις ασφάλειας», «ρυθμίσεις απορρήτου», «άσκηση δικαιωμάτων», «Υπεύθυνος Προστασίας Δεδομένων», «πρόσβαση στις πληροφορίες μου» κλπ., ώστε να βρεις τον κατάλληλο τρόπο να επικοινωνήσεις το αίτημα της πρόσβασης στα δεδομένα σου.
Οι περισσότερες μεγάλες εταιρίες ψηφιακών μέσων προσφέρουν αρκετά ανεπτυγμένα εργαλεία που διευκολύνουν πιο συστηματικά την πρόσβαση στα δεδομένα σου.
Παρακάτω θα βρεις σχετικά παραδείγματα εταιριών που διαχειρίζονται μεγάλο όγκο των προσωπικών σου δεδομένων, καθώς και οδηγίες βήμα-βήμα για το πώς να ασκήσεις το δικαίωμα πρόσβασής σου σε αυτές.
Το παράδειγμα του Facebook
Η πλατφόρμα του Facebook σου δίνει τη δυνατότητα να ασκήσεις το δικαίωμα πρόσβασης με δύο τρόπους.
Απόκτησε πρόσβαση στις πληροφορίες σου
Ρυθμίσεις -> Οι πληροφορίες σας στο Facebook -> Αποκτήστε πρόσβαση στις πληροφορίες σας -> Προβολή
Με αυτόν τον τρόπο μπορείς να δεις τις πληροφορίες που είτε έχεις μοιραστεί ο ίδιος με το Facebook, είτε τις πληροφορίες που το Facebook έχει συλλέξει μέσα από τη δραστηριότητά σου (π.χ. ενδιαφέροντα, στοιχεία σύνδεσης, ιστορικό αναζήτησης κ.λπ.)
Το εργαλείο αυτό είναι χρήσιμο εάν θέλεις να δεις εύκολα και γρήγορα συγκεντρωμένη τη δραστηριότητά σου στην πλατφόρμα αυτή και στη συνέχεια –εάν το επιθυμείς- να ασκήσεις κάποιο άλλο από τα δικαιώματά σου. Για παράδειγμα, εάν επιθυμείς να διαγράψεις όλες τις δημοσιεύσεις σου από το 2016, μπορείς με το εργαλείο αυτό, αντί να ανατρέξεις στις δημοσιεύσεις του 2016 από το Χρονολόγιο σου, να κάνεις αναζήτηση το έτος που σε ενδιαφέρει και αφού εμφανιστούν συγκεντρωμένες όλες οι δημοσιεύσεις, να προχωρήσεις στη διαγραφή τους.
Επίσης, μην ξεχάσεις να αφιερώσεις λίγο χρόνο στο πεδίο «Πληροφορίες σχετικά με εσάς», που βρίσκεται ακριβώς από κάτω. Εκεί θα βρεις πληροφορίες σχετικά με τα ενδιαφέροντά σου και τις διαφημίσεις που σου προβάλει το Facebook, τρίτους οργανισμούς που έχουν μοιραστεί τα στοιχεία σου (email, κινητό τηλέφωνο) με τη Facebook προκειμένου να σου προβάλουν διαφημίσεις στην πλατφόρμα, καθώς και πληροφορίες σχετικά με την τοποθεσία και τις συνδέσεις σου.
Ζήτησε αντίγραφο των προσωπικών δεδομένων σου
Επιπλέον, έχεις δικαίωμα να ζητήσεις από τη Facebook αντίγραφο των δεδομένων σου ακολουθώντας την παρακάτω διαδικασία:
Ρυθμίσεις -> Οι πληροφορίες σας στο Facebook -> Κατεβάστε τις πληροφορίες σας -> Προβολή
Στο αμέσως επόμενο στάδιο μπορείς να επιλέξεις εάν θέλεις το αρχείο να περιέχει όλα τα δεδομένα σου ή συγκεκριμένες κατηγορίες δεδομένων, τη μορφή του αρχείου μεταξύ HTML και JSON καθώς και την ποιότητα των δεδομένων. Αφού κάνεις κλικ στο πεδίο «Δημιουργία αρχείου», θα χρειαστεί να περιμένεις μέχρι να ολοκληρωθεί το αρχείο σου.
Όταν ολοκληρωθεί η δημιουργία του αρχείου, θα λάβεις σχετική ειδοποίηση στην πλατφόρμα του Facebook. Πατώντας στην ειδοποίηση αυτή, θα μεταφερθείς στη σελίδα όπου θα βρίσκεται διαθέσιμο το αρχείο σου για λήψη. Σαν τελευταίο βήμα πριν λάβεις το αρχείο σου, το Facebook θα σου ζητήσει να πληκτρολογήσεις τον κωδικό πρόσβασής σου, ώστε να επιβεβαιώσει ότι τη λήψη την ζητάς πράγματι εσύ, ο κάτοχος του λογαριασμού και ότι τα δεδομένα σου δεν θα καταλήξουν σε λάθος χέρια!
Στην περίπτωση που ζητήσεις από το Facebook όλα τα δεδομένα σου, σύμφωνα με την παραπάνω διαδικασία, θα σου σταλεί ένα αρχείο που θα περιλαμβάνει τους παρακάτω τύπους δεδομένων:
Το παράδειγμα της Google
Οι περισσότεροι από εμάς χρησιμοποιούμε υπηρεσίες της Google καθημερινά. Είτε χρησιμοποιείς τις πιο διαδεδομένες υπηρεσίες της Google όπως Google search, YouTube, Gmail, Google Maps είτε τις λιγότερο διαδεδομένες όπως Google Home, Google Pay, Google Flights, είναι αλήθεια ότι η εν λόγω εταιρεία επεξεργάζεται τεράστιο όγκο δεδομένων σου.
Πώς μπορείς λοιπόν να ασκήσεις το δικαίωμα πρόσβασης στην Google; Ομοίως όπως η Facebook, έτσι και η Google παρέχει δύο τρόπους άσκησης του δικαιώματος αυτού.
Επισκόπησε τη δραστηριότητά σου
Προκειμένου να επισκοπήσεις τη δραστηριότητά σου στα προϊόντα και υπηρεσίες της Google, ακολούθησε τα παρακάτω βήματα:
Είσοδος στον Google Λογαριασμό σας -> Δεδομένα και εξατομίκευση -> Δραστηριότητα και Χρονολόγιο
και
Είσοδος στον Google Λογαριασμό σας -> Δεδομένα και εξατομίκευση -> Τα στοιχεία που δημιουργείτε και οι ενέργειες σας
Αφότου μάθεις για τη δραστηριότητα σου, μπορείς να επιλέξεις τη διαγραφή προσωπικών δεδομένων που σχετίζονται με τη δραστηριότητά σου, καθώς και να επιλέξεις αν επιθυμείς να συνεχίσεις να αποθηκεύεται η δραστηριότητά σου στις υπηρεσίες Google που χρησιμοποιείς, εδώ:
Είσοδος στον Google Λογαριασμό σας -> Δεδομένα και εξατομίκευση -> Στοιχεία Ελέγχου Δραστηριότητας
Ζήτησε αντίγραφο των προσωπικών σου δεδομένων
Μπορείς επίσης να κατεβάσεις αντίγραφο των προσωπικών σου δεδομένων, ακολουθώντας τα παρακάτω βήματα:
Είσοδος στον Google Λογαριασμό σας -> Δεδομένα και εξατομίκευση -> Κατεβάστε, διαγράψτε ή σχεδιάστε τι θα συμβεί στα δεδομένα σας – > Κατεβάστε τα δεδομένα σας
Κάνοντας κλικ στο πεδίο «Κατεβάστε τα δεδομένα σας», θα ανοίξει νέα καρτέλα όπου μπορείς να επιλέξεις αν επιθυμείς το αρχείο να περιέχει πληροφορίες για όλα τα προϊόντα της Google που χρησιμοποιείς ή μόνο για συγκεκριμένα προϊόντα, εάν επιθυμείς εξαγωγή του αρχείου μόνο μία φορά ή εξαγωγή αρχείων ανά δύο μήνες για ένα έτος, τη μέθοδο προβολής τους αρχείου (π.χ. μέσω email ή απευθείας αποθήκευση στο cloud) τον τύπο του αρχείου, καθώς και το μέγεθός του.
Αφότου υποβάλεις το αίτημα για λήψη αντιγράφου των δεδομένων σου, θα λάβεις ένα email όπου θα πρέπει να επιβεβαιώσεις ότι ζήτησες ο ίδιος το εν λόγω αρχείο. Στη συνέχεια, θα ξεκινήσει η διαδικασία δημιουργίας του αρχείου και αφότου ολοκληρωθεί, θα λάβεις email με την τοποθεσία του αρχείου σου, ανάλογα με τον τρόπο προβολής που επέλεξες. Για να λάβεις το αρχείο σου, θα πρέπει να πληκτρολογήσεις τον κωδικό πρόσβασης.
Στην περίπτωση που ζητήσεις το αρχείο σου να περιλαμβάνει όλα τα προϊόντα της Google, θα σου σταλεί το παρακάτω αρχείο.
Προσοχή! Τόσο στο Facebook όσο και στην Google, η διαδικασία δημιουργίας του αρχείου σου μπορεί να διαρκέσει από ώρες έως και μέρες, ανάλογα με τον όγκο των δεδομένων σου. Αφότου δημιουργηθεί το αρχείο, θα πρέπει να το κατεβάσεις άμεσα καθώς θα είναι διαθέσιμο για περιορισμένο χρονικό διάστημα.
-«Άσκησα το δικαίωμα πρόσβασης αλλά δεν μου απάντησαν καθόλου/εντός της προθεσμίας» , «Δεν έμεινα ικανοποιημένος από την απάντηση που έλαβα» , «Τα αρχεία δεν περιλαμβάνουν όλα τα προσωπικά μου δεδομένα». Τι μπορώ να κάνω σε αυτές τις περιπτώσεις;
Να θυμάσαι ότι σε κάθε περίπτωση έχεις το δικαίωμα να υποβάλεις καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συμπληρώνοντας τη φόρμα Παραβίασης δικαιώματος (Άρθρα 15 – 22 GDPR) που θα βρεις εδώ.
*Η Μαρία-Αλεξάνδρα Παπουτσή είναι δικηγόρος με ειδίκευση στο διεθνές δίκαιο και τα ανθρώπινα δικαιώματα (LL.M.). Τα τελευταία έτη ασχολείται ενεργά με την εταιρική συμβουλευτική σε νομικά ζητήματα προστασίας προσωπικών δεδομένων και ιδιωτικότητας.
Δικτυακή ουδετερότητα: Tι είναι και πόσο μας αφορά;
Γράφει η Αντιγόνη Λογοθέτη*
Η ανάγκη για μία ελεύθερη, ενιαία ψηφιακή αγορά που προωθεί την ανοιχτή και ουδέτερη πρόσβαση στο διαδίκτυο έχει ήδη επισημανθεί από την Homo Digitalis σε προγενέστερο κείμενό της.
Έχει ακόμη επισημανθεί η ανεπάρκεια του υφιστάμενου ευρωπαϊκού ρυθμιστικού πλαισίου (Κανονισμός ΕΕ 2015/2120) σχετικά με την προώθηση της αρχής της δικτυακής ουδετερότητας ή όπως είναι ευρέως γνωστή με τον αγγλικό όρο “net neutrality”.
Τι είναι όμως η δικτυακή ουδετερότητα και τι αντίκτυπο έχει στην ψηφιακή μας καθημερινότητα;
Δικτυακή ουδετερότητα είναι η αρχή σύμφωνα με την οποία όλα τα δεδομένα που κινούνται και διαβιβάζονται στο διαδίκτυο χρήζουν ίσης μεταχείρισης, χωρίς να επιτρέπονται διακρίσεις βάσει προέλευσης, προορισμού ή τύπου των δεδομένων, χωρίς να επιτρέπεται να μπλοκάρονται ή να επιβραδύνονται συγκεκριμένα δεδομένα.
Σύμφωνα με τον Αμερικανό καθηγητή Lawrence Lessig: «σαν αιθεροβάμων ταχυδρόμος, το διαδίκτυο απλά κινεί τα δεδομένα και αφήνει την ερμηνεία τους στις εκάστοτε τελικές εφαρμογές». Σύμφωνα με τον ίδιο, ο μινιμαλισμός αυτός στον σχεδιασμό του δικτύου είναι σκόπιμος: αντανακλά τόσο μία πολιτική απόφαση σχετικά με την έλλειψη δυνατότητας ελέγχου όσο και μία τεχνολογική απόφαση σχετικά με τον βέλτιστο σχεδιασμό του δικτύου.
Πρακτικά η αρχή αυτή επιτάσσει την υποχρέωση των παρόχων υπηρεσιών διαδικτύου να αντιμετωπίζουν όλες τις διαδικτυακές επικοινωνίες ισότιμα και να μην επιβάλλουν διαφορετικές χρεώσεις, να μην επιβραδύνουν ή μπλοκάρουν επικοινωνίες επί τη βάσει διαφόρων παραγόντων όπως ενδεικτικά ο χρήστης, το περιεχόμενο της επικοινωνίας, η ιστοσελίδα, η πλατφόρμα, η εφαρμογή ή ο τύπος εξοπλισμού που χρησιμοποιείται, η διεύθυνση προέλευσης ή προορισμού και η μέθοδος επικοινωνίας.
Σε Ευρωπαϊκό επίπεδο η υιοθέτηση της αρχής της δικτυακής ουδετερότητας συμβάλλει στην προώθηση της ενιαίας ψηφιακής αγοράς, καθώς ενισχύει την καινοτομία, τον ανταγωνισμό, την ελεύθερη ροή πληροφοριών και τη βελτίωση των επιλογών του καταναλωτή.
Από πλευράς δικαίου η αρχή αυτή δημιουργεί νέα μέσα για την άσκηση θεμελιωδών δικαιωμάτων όπως η ελευθερία της έκφρασης, η ανταλλαγή πληροφοριών (χωρίς την παρεμβολή των εταιρειών τηλεπικοινωνίας), η προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων.
Χωρίς την αρχή της δικτυακής ουδετερότητας, οι πάροχοι διαδικτύου θα μπορούσαν για παράδειγμα να προσφέρουν υψηλότερες ταχύτητες σε συγκεκριμένες μηχανές αναζήτησης, καθιστώντας αυτές ελκυστικότερες για το χρήστη.
Αναπόφευκτη συνέπεια θα ήταν η νόθευση του ανταγωνισμού με τις εταιρείες κολοσσούς να επικρατούν ως οι μόνες δυνάμενες να πληρώσουν το αντίστοιχο τίμημα και τις μικρότερες εταιρείες να πασχίζουν για το μερίδιό τους στην αγορά. Τέτοιου είδους πρακτική θα έπληττε και τους καταναλωτές οι οποίοι θα έρχονταν αντιμέτωποι με λιγότερες επιλογές και χειρότερη εμπειρία στο διαδίκτυο.
Εκτός όμως από τον οικονομικό αντίκτυπο, η παραβίαση της αρχής της ουδετερότητας θα είχε ως συνέπεια ένας πάροχος υπηρεσιών διαδικτύου να μπορούσε να επιβραδύνει ή να αποκλείσει το περιεχόμενο ανταγωνιστών του ή ιστοσελίδων πολιτικά-θρησκευτικά αντίθετων.
Με τον Κανονισμό (ΕΕ) 2015/2120 τέθηκαν σε Ευρωπαϊκό επίπεδο μέτρα για την προώθηση της ανοικτής πρόσβασης στο διαδίκτυο και με τις κατευθυντήρiες γραμμές που εξέδωσε το Σώμα Ευρωπαίων Ρυθμιστών για τις Ηλεκτρονικές Επικοινωνίες. Επιχειρήθηκε η καθοδήγηση ως προς την ομοιόμορφη εφαρμογή του Κανονισμού αυτού από τους εθνικούς νομοθέτες και η ασφάλεια δικαίου (BEREC Guidelines).
Σημειωτέον ότι δεδομένου ότι πρόκειται για Κανονισμό, οι διατάξεις του έχουν άμεση εφαρμογή στα κράτη μέλη, χωρίς να χρειάζεται εθνικός εφαρμοστικός νόμος. Ωστόσο, υπάρχουν και διατάξεις οι οποίες αφήνουν τον τελικό λόγο στον εθνικό νομοθέτη.
Πώς ανταποκρίθηκε όμως η χώρα μας στις επιταγές του Κανονισμού;
Η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) αποτελεί τη ρυθμιστική αρχή που εποπτεύει την αγορά ηλεκτρονικών επικοινωνιών στην Ελλάδα και ως εκ τούτου είναι η αρμόδια να παρακολουθεί τη συμμόρφωση των παρόχων με τον Κανονισμό.
Η ΕΕΤΤ υποχρεούται να δημοσιεύει κάθε χρόνο σχετικές αναφορές και να τις διαβιβάζει στην Ευρωπαϊκή Επιτροπή και στο BEREC. Ως προς αυτές τις αναφορές -δύο μέχρι ώρας από την θέση σε εφαρμογή του Κανονισμού-, παρά τη σχετική υποχρέωση, η χώρα μας δεν μπήκε στον κόπο να υποβάλει την αγγλική μετάφρασή τους παρά μόνο το ελληνικό κείμενο. Συνακόλουθο αποτέλεσμα ήταν να μην μπορεί η χώρα μας να συμβάλει στο διάλογο για την βελτίωση των κανόνων.
Επιπλέον, σύμφωνα με το άρθρο 6 του Κανονισμού τα κράτη μέλη έπρεπε να θεσπίσουν αποτελεσματικές κυρώσεις για τις παραβάσεις συγκεκριμένων άρθρων τα οποία αποτελούν τον σκληρό πυρήνα για την κατοχύρωση της δικτυακής ουδετερότητας.
Η Ελλάδα εμφανίζει τον μεγαλύτερο αριθμό (μαζί με την Ουγγαρία) στις προσφορές διαφορετικής τιμολόγησης χωρίς να έχει λάβει κανένα μέτρο για να παρέμβει ενάντια σε αυτό.
Η Ελλάδα δυστυχώς συγκαταλέγεται στις χώρες που έχουν μεν θεσπίσει κυρώσεις αλλά σύμφωνα με την Αναφορά για την Κατάσταση της Δικτυακής Ουδετερότητας στην ΕΕ που δημοσίευσε φέτος ο οργανισμός epicenter.works, οι κυρώσεις αυτές κρίθηκε ότι δεν πληρούν τα κριτήρια της αποτελεσματικότητας, αναλογικότητας και αποτρεπτικότητας που τίθενται στον Κανονισμό.
Αξίζει να σημειωθεί ότι στην παραπάνω αναφορά η Homo Digitalis συνέβαλε με την εισφορά όλων των στοιχείων για την Ελλάδα και την Κύπρο.
Ως προς τα προϊόντα μηδενικού συντελεστή -ευρέως γνωστά ως zero-rated products- η ΕΕΤΤ δεν έχει ξεκινήσει την επίσημη αξιολόγησή τους ως όφειλε και σε καμία από τις δύο παραπάνω αναφορές δεν έχει απαντήσει στη σχετική ερώτηση που τίθεται στο ερωτηματολόγιο του BEREC.
Μάλιστα, σύμφωνα με την παραπάνω αναφορά η Ελλάδα εμφανίζει τον μεγαλύτερο αριθμό (μαζί με την Ουγγαρία) στις προσφορές διαφορετικής τιμολόγησης (δηλαδή διαφορετική χρέωση του συνδρομητή από τον πάροχο για την αποστολή/λήψη δεδομένων ορισμένου περιεχομένου από τη χρέωση γενικών δεδομένων) χωρίς να έχει λάβει κανένα μέτρο για να παρέμβει ενάντια σε αυτό.
Σύμφωνα με την Ετήσια Έκθεση Ανοικτού Διαδικτύου 2018-2019 της ΕΕΤΤ στην Ελλάδα το 2018 παρέχονταν 25 υπηρεσίες διαφορετικής τιμολόγησης περιεχομένου και εφαρμογών. Η αντιμετώπιση των προϊόντων αυτών έχει σημασία διότι -εκτός των άλλων- η ύπαρξή τους συνδέεται με αγορές των οποίων οι τιμολογιακές πρακτικές είναι δυσμενείς προς τα συμφέροντα του καταναλωτή.
Επιλογικά, παρότι όχι και τόσο γνωστή στο ευρύ κοινό, η αρχή της δικτυακής ουδετερότητας παίζει σπουδαίο ρόλο στην ψηφιακή καθημερινότητά μας, τόσο ως καταναλωτών όσο και ως υποκειμένων δικαιωμάτων (data subjects).
Από την θέση σε εφαρμογή του σχετικού Κανονισμού και ανεξάρτητα από τις κριτικές που έχουν διατυπωθεί για τον Κανονισμό καθαυτό, σύμφωνα με την παραπάνω συγκριτική μελέτη του epicenter.works η χώρα μας για άλλη μια φορά αποδείχθηκε κατώτερη των περιστάσεων ως προς αφενός μεν την λήψη μέτρων για την εφαρμογή ορισμένων διατάξεων του Κανονισμού αφετέρου δε την αποτελεσματικότητα των όποιων ληφθέντων μέτρων καταλαμβάνοντας τις χαμηλότερες θέσεις στους συγκριτικούς πίνακες με τις σχετικές επιδόσεις όλων των κρατών μελών.
*Η Αντιγόνη Λογοθέτη είναι δικηγόρος, πρόσφατη απόφοιτος του Μεταπτυχιακού Προγράμματος LL.M. «Δίκαιο και Τεχνολογία», στο Tilburg University της Ολλανδίας. Είναι ασκούμενη στη noyb.eu, Ευρωπαϊκό Κέντρο για τα Ψηφιακά Δικαιώματα με έδρα τη Βιέννη.
Είναι η οικογένεια ο νέος “influencer” ;
Γράφει η Αναστασία Καραγιάννη
Η αλήθεια είναι ότι, λίγο πολύ, στις μέρες μας είμαστε ενημερωμένοι για την άμεση συλλογή και επεξεργασία των δεδομένων των παιδιών. Ωστόσο, είναι εξίσου αλήθεια ότι γνωρίζουμε πολύ λίγα πράγματα για άλλες μεθόδους έμμεσης συλλογής και επεξεργασίας των δεδομένων των παιδιών, κυρίως στις πλατφόρμες κοινωνικής δικτύωσης.
Τα προσωπικά δεδομένα των ανηλίκων βρίσκονται ακόμα και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων
Δεδομένου ότι πολλά παιδιά ηλικίας 13 έως 16 ετών χρησιμοποιούν αυτές τις πλατφόρμες, τα δεδομένα τους είναι αυτονόητο ότι συλλέγονται και αποθηκεύονται. Όμως, τα δεδομένα αυτά βρίσκονται και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων. Με αυτό τον τρόπο, τα δεδομένα των παιδιών ενσωματώνονται στα δεδομένα των ενηλίκων-γονέων στα πλαίσια των ‘οικογενειακών δεδομένων’.
Τον Νοέμβριο του 2018, το Facebook κατέθεσε δίπλωμα ευρεσιτεχνίας για τις προβλέψεις δημογραφικών στοιχείων, οι οποίες βασίστηκαν σε δεδομένα εικόνας. Αυτή η ‘πατέντα’ βασίζεται στην αναγνώριση προσώπου και επιτρέπει στο Facebook να κατηγοριοποιεί φωτογραφίες που δημοσιεύονται από το χρήστη και φωτογραφίες που έχουν αναρτηθεί από άλλους χρήστες οι οποίοι είναι ‘κοινωνικά συνδεδεμένοι’ μαζί του, καθώς και με άλλα είδη κειμένου, όπως οι λεζάντες που περιέχουν περισσότερες πληροφορίες σχετικά με το χρήστη και την οικογένειά του.
Παρόλο που οι πλατφόρμες των μέσων κοινωνικής δικτύωσης προσπαθούν να συμμορφωθούν με τον GDPR στις Πολιτικές Απορρήτου, στοχεύουν στα παιδιά ή συλλέγουν πληροφορίες από τα προφίλ της οικογένειας μέσω της εξαγωγής δεδομένων.
Δεν είναι τυχαίο, άλλωστε, που υπάρχουν επίσης οι περιπτώσεις των ‘moms influencers’ που μοιράζονται πληροφορίες όχι μόνο για τη δική τους ζωή, αλλά και των παιδιών τους, έχοντας ως σκοπό την προώθηση προϊόντων με διαφημίσεις, άρα το κέρδος, ή καθιστώντας τα παιδιά τους influencers στα κοινωνικά μέσα.
Ωστόσο, το ερώτημα είναι το εξής:
Τα δεδομένα στην εικόνα ανήκουν στα παιδιά και τι συμβαίνει όταν τα δικαιώματα που απορρέουν ασκούνται από τρίτους, όπως οι γονείς και οι έχοντες την γονική επιμέλεια; Αυτά τα δεδομένα σε ποιον ανήκουν; Και η ‘ιδιοκτησία των δεδομένων’ μπορεί να θεωρηθεί δικαίωμα ιδιοκτησίας;
Ιστορικά, τα παιδιά είναι υπό την ευθύνη των γονέων τους. Αυτή η θεμελιώδης αρχή παραμένει, αν και η ευαισθησία μας και η γλώσσα που χρησιμοποιούμε για να περιγράψουμε τη γονική σχέση έχει αλλάξει. Ο Ali Watson υποστηρίζει ότι παρά τις αλλαγές στην τεχνολογία, την κοινωνία και τον τρόπο με τον οποίο αντιλαμβανόμαστε την ανάπτυξη των παιδιών «η φύση των ίδιων των παιδιών έχει αλλάξει πολύ λίγο». Παρόλο που υπάρχει εκτενής βιβλιογραφία σχετικά με τις πρακτικές κληρονομιάς, οι πηγές που απευθύνονται άμεσα στα δικαιώματα ιδιοκτησίας των παιδιών είναι ελάχιστες.
Η απουσία νομικής ρύθμισης σχετικά με τα δικαιώματα ιδιοκτησίας των παιδιών οφείλεται στο γεγονός ότι τα παιδιά δεν έχουν πλήρη νομική προσωπικότητα, λόγω ηλικίας, ανωριμότητας και ευαλωτότητας, κάτι που τους απαγορεύει να ελέγχουν τα δικά τους συμφέροντα.
Ωστόσο, στο άρθρο 21 του Ν. 4624/2019 (άρθρο 6 και 8 του GDPR) για την προστασία των προσωπικών δεδομένων προβλέπεται το 15ο έτος ως όριο ηλικίας, όπου το παιδί μπορεί να δώσει την συναίνεσή του για την επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών. Μ’ αυτόν τον τρόπο, ο νομοθέτης αναγνωρίζει ότι ένα παιδί-έφηβος/η στο 15ο έτος της ηλικίας του διαθέτει την στοιχειώδη ωριμότητα, ώστε να αντιληφθεί πιθανούς κινδύνους, να αντισταθμίσει τα οφέλη και να πάρει συνειδητά μία απόφαση.
Η Σύμβαση του ΟΗΕ για τα Δικαιώματα του Παιδιού εγγυάται στα παιδιά το δικαίωμα σε όνομα, εκπαίδευση, πολιτισμό, θρησκευτική ελευθερία, ενώ ενθαρρύνει τη δημοσίευση παιδικών βιβλίων. Ωστόσο, δεν αναφέρεται ρητά στα δικαιώματα ιδιοκτησίας των παιδιών. Πράγματι, αναφέρεται μόνο στην ιδιοκτησία, στο μέτρο που τα παιδιά δεν πρέπει να υφίστανται διακρίσεις εξαιτίας της ιδιοκτησίας τους ή της έλλειψης κυριότητας ιδιοκτησίας. Η υπογραφή της Σύμβασης του ΟΗΕ για τα Δικαιώματα του Παιδιού αποτέλεσε κρίσιμη στιγμή για την αναγνώριση των δικαιωμάτων του παιδιού σε ένα νομικό κείμενο και για την καθιέρωση ενός σημαντικού κριτηρίου στο άρθρο 3 ότι «το πρωταρχικό μέλημα πρέπει να είναι το βέλτιστο συμφέρον του παιδιού».
Η πρώτη σημαντική διεθνής σύμβαση για την αναγνώριση των δικαιωμάτων ιδιοκτησίας του παιδιού είναι η Σύμβαση της Χάγης του 1996 για τη γονική μέριμνα και την προστασία των παιδιών. Ειδικότερα, στο άρθρο 1, η Σύμβαση καλεί τα κράτη να «προστατεύσουν το πρόσωπο ή την περιουσία του παιδιού». Η συχνή χρήση της φράσης «πρόσωπο ή ιδιοκτησία του παιδιού» δηλώνει την αναγνώριση των σημερινών και μελλοντικών δικαιωμάτων ιδιοκτησίας του παιδιού.
Ωστόσο, πριν εξεταστεί ο ρόλος των γονέων σε αυτή την περίπτωση, θα πρέπει να διευκρινίσουμε την έννοια της ιδιοκτησίας των δεδομένων και της σχέσης της με τα δικαιώματα ιδιοκτησίας. Σύμφωνα με την Valentina Pavel, η κυριότητα είναι το αποκλειστικό δικαίωμα χρήσης, κατοχής και διάθεσης της περιουσίας. Πολλοί άνθρωποι αναπτύσσουν συναισθηματικά επιχειρήματα σχετικά με την ιδιοκτησία των δεδομένων, οπότε ένας νομικός ορισμός της ιδιοκτησίας είναι αναγκαίος, όπως και η σημασία που δίνεται από τις επιχειρήσεις.
Σύμφωνα με την Sylvie Delacroix, η διαρροή των δεδομένων μας καθιστά ευάλωτους. Η συνεχής, διαισθητική σχέση ιδιοκτησίας με τον έλεγχο φαίνεται να βασίζεται σε ένα πολύ συγκεκριμένο ιδεώδες ιδιοκτησίας, το οποίο αντικατοπτρίζεται στο ρητό, «το σπίτι κάποιου είναι το κάστρο του».
Η Sylvie Delacroix υποστηρίζει ότι η προσπάθεια του GDPR να περιορίσει την ελευθερία των συμβάσεων δεν αρκεί από μόνη της, ώστε να αντιστρέψει την ασυμμετρία εξουσίας μεταξύ αυτών που ελέγχουν τα δεδομένα και των υποκειμένων των δεδομένων. Η λύση σύμφωνα με την Sylvie Delacroix είναι η εμπιστοσύνη των δεδομένων, ένας μηχανισμός με τον οποίο τα υποκείμενα δεδομένων επιλέγουν να συγκεντρώσουν τα δεδομένα τους εντός του νομικού πλαισίου της εμπιστευτικότητας.
Τα δικαιώματα των γονέων στην ελευθερία της έκφρασης και της γονικής επιμέλειας μπορεί να έρθουν σε σύγκρουση, όπως και με το δικαίωμα στην ιδιωτικότητα των παιδιών
Όταν οι γονείς μοιράζονται πληροφορίες σχετικά με τα παιδιά τους στο διαδίκτυο, τις περισσότερες φορές το κάνουν χωρίς τη συγκατάθεση των παιδιών τους. Οι γονείς παίζουν τόσο τον ρόλο του ‘φύλακα’ και ‘προστάτη’ των προσωπικών δεδομένων των παιδιών τους όσο και του ‘αφηγητή’ των προσωπικών ιστοριών τους.
Αυτός ο διπλός ρόλος των γονέων συμβάλλει σημαντικά στην διαμόρφωση της ηλεκτρονικής ταυτότητας των παιδιών, ενώ τους παρέχει ελάχιστη προστασία. Προκαλείται μια σύγκρουση συμφερόντων, καθώς τα παιδιά μπορεί κάποια μέρα να αντιδράσουν στις δημοσιεύσεις που έκαναν πριν χρόνια οι γονείς τους και να συνειδητοποιήσουν ότι δεν μπορούν να ελέγξουν πλέον το ψηφιακό τους αποτύπωμα.
Πράγματι, τα πρωτοβάθμια Δικαστήρια στην Αυστρία κλήθηκαν να αντιμετωπίσουν την υπόθεση μιας δεκαοχτάχρονης κοπέλας, η οποία μήνυσε τους γονείς της, επειδή μοιράστηκαν 500 φωτογραφίες της με τους 700 διαδικτυακούς τους φίλους στο Facebook. Η κοπέλα συγκεκριμένα αναφέρει πως οι γονείς την δεν έβαλαν όρια και δεν σκέφτηκαν ότι μπορεί να αισθάνεται η ίδια αργότερα ντροπή για αυτές τις φωτογραφίες, αφού σε κάποιες απεικονίζεται ακόμα και γυμνή στην μπανιέρα. Για αυτό το λόγο, ζήτησε από το Δικαστήριο να αποσυρθούν αυτές οι φωτογραφίες και η ίδια να αποζημιωθεί οικονομικά.
Όταν οι γονείς δημοσιεύουν φωτογραφίες των παιδιών τους από την καθημερινότητά τους, μπορούν να εγγυηθούν ότι τα παιδιά τους δεν θα δυσαρεστηθούν από αυτές τις φωτογραφίες ή δε θα ζητήσουν να αφαιρεθούν αυτές οι φωτογραφίες;
Μόλις ‘ανέβει’ μία φωτογραφία στο διαδίκτυο, δεν μπορεί να εξαφανιστεί εύκολα. Το γεγονός ότι τα περισσότερα από τα παιδιά δεν μπορούν να εκφράσουν την γνώμη τους σε μικρή ηλικία, γιατί δεν αντιλαμβάνονται τι συμβαίνει, δεν σημαίνει ότι οι γονείς δεν πρέπει να ρωτήσουν την γνώμη τους, να τους εξηγήσουν για ποιο λόγο θέλουν αν μοιραστούν μία φωτογραφία τους και πως λειτουργεί ο ψηφιακός χώρος.
Μια έρευνα ανέφερε ότι οι περισσότεροι γονείς κατά 89% δραστηριοποιούνται καθημερινά στο διαδίκτυο, ενώ μόλις το 11% δήλωσε ότι ανησυχούν σχετικά με την προστασία της ιδιωτικής τους ζωής και προσπαθούν να περιορίσουν τη χρήση του διαδικτύου.
Οι ‘Insta-Moms’, οι μητέρες που δημοσιεύουν συχνά τις φωτογραφίες των παιδιών τους στο Instagram, και οι ‘Moms-influencers’ συχνά επικρίνονται επειδή χρησιμοποιούν τις εικόνες των παιδιών τους με επικερδή τρόπο. Η έρευνα αυτή ανέφερε επίσης ότι μόνο το 14% των γονέων με παιδιά ηλικίας 9-12 ετών, και το 48% των γονέων με παιδιά ηλικίας 13-17 ετών, έκριναν ότι το παιδί τους ήταν αρκετά ώριμο, ώστε να έχει αυτοτελές δικαίωμα στην ιδιωτικότητα στον ψηφιακό χώρο.
Το ‘Sharenting’ (από το parenting που σημαίνει γονική μέριμνα και το share που σημαίνει μοιράζομαι) είναι η συνεχής συμπεριφορά των γονέων να μοιράζονται τα δεδομένα των παιδιών τους σαν να είναι δικά τους δεδομένα, στα πλαίσια της ιδιοκτησίας και της γονικής επιμέλειας. Η χρησιμοποίηση των φωτογραφιών των παιδιών με σκοπό το κέρδος, τις διαφημίσεις και τις χορηγίες είναι εντελώς διαφορετικό από την απλή λήψη φωτογραφιών.
Προωθώντας διάφορα προϊόντα, από παιχνίδια μέχρι ρούχα υψηλής ραπτικής, αυτά τα παιδιά μπορούν να κερδίσουν πολλά χρήματα για μία φωτογραφία. Χωρίς να μπορούν να υπογράψουν κάποια σύμβαση, τα κέρδη απλώς καταλήγουν στα χέρια των γονέων, δημιουργώντας δεοντολογικά και πρακτικά προβλήματα. Κάποιοι γονείς μπορεί να δημιουργούν λογαριασμούς ταμιευτηρίου ή να προσθέτουν τα κέρδη σε ένα κοινό ταμείο με τα παιδιά τους, ώστε να τα χρησιμοποιήσουν μόλις ενηλικιωθεί, αλλά τις περισσότερες φορές οι γονείς χρησιμοποιούν αυτά τα χρήματα πολύ πριν από την ενηλικίωση των παιδιών.
Ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον αλλά και πώς μπορούν να επωφεληθούν από τον σύγχρονο ψηφιακό κόσμο
Συνοψίζοντας, οι εταιρείες και οι γονείς πρέπει να συνεργάζονται και να ακολουθούν μία κοινή πολιτική και πρακτική που τους επιτρέπει να μην παραβιάζουν τα δικαιώματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων των παιδιών. Οι γονείς πρέπει να είναι πιο επιλεκτικοί με τις εταιρείες που επιλέγουν να συνεργαστούν, καθώς και να διασφαλίζουν διαρκώς ότι έχουν λάβει την ενημερωμένη συγκατάθεση του παιδιού πριν από την πραγματοποίηση οποιωνδήποτε δημοσιεύσεων.
Δεδομένου ότι το ψηφιακό περιβάλλον είναι πραγματικά ευρύ και ρευστό, ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον, και πώς μπορούν να επωφεληθούν από τον ψηφιακό κόσμο, όχι μόνο με λόγια, αλλά και με το να αποτελούν το παράδειγμα με τις πράξεις τους.