Γράφει η Αναστασία Καραγιάννη

Η αλήθεια είναι ότι, λίγο πολύ, στις μέρες μας είμαστε ενημερωμένοι για την άμεση συλλογή και επεξεργασία των δεδομένων των παιδιών. Ωστόσο, είναι εξίσου αλήθεια ότι γνωρίζουμε πολύ λίγα πράγματα για άλλες μεθόδους έμμεσης συλλογής και επεξεργασίας των δεδομένων των παιδιών, κυρίως στις πλατφόρμες κοινωνικής δικτύωσης.

Τα προσωπικά δεδομένα των ανηλίκων βρίσκονται ακόμα και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων

Δεδομένου ότι πολλά παιδιά ηλικίας 13 έως 16 ετών χρησιμοποιούν αυτές τις πλατφόρμες, τα δεδομένα τους είναι αυτονόητο ότι συλλέγονται και αποθηκεύονται. Όμως, τα δεδομένα αυτά βρίσκονται και στις φωτογραφίες που μοιράζονται στο Facebook οι γονείς και οι φίλοι της οικογένειας, σε όλα τα βίντεο από την καθημερινή ζωή των παιδιών ή τα vlogs της οικογένειας στο YouTube, στα hashtags στο Twitter και στις στιγμιαίες φωτογραφίες στο Snapchat, και υποβάλλονται σε επεξεργασία σύμφωνα με το προφίλ των ενηλίκων. Με αυτό τον τρόπο, τα δεδομένα των παιδιών ενσωματώνονται στα δεδομένα των ενηλίκων-γονέων στα πλαίσια των ‘οικογενειακών δεδομένων’.

Τον Νοέμβριο του 2018, το Facebook κατέθεσε δίπλωμα ευρεσιτεχνίας για τις προβλέψεις δημογραφικών στοιχείων, οι οποίες βασίστηκαν σε δεδομένα εικόνας. Αυτή η ‘πατέντα’ βασίζεται στην αναγνώριση προσώπου και επιτρέπει στο Facebook να κατηγοριοποιεί φωτογραφίες που δημοσιεύονται από το χρήστη και φωτογραφίες που έχουν αναρτηθεί από άλλους χρήστες οι οποίοι είναι ‘κοινωνικά συνδεδεμένοι’ μαζί του, καθώς και με άλλα είδη κειμένου, όπως οι λεζάντες που περιέχουν περισσότερες πληροφορίες σχετικά με το χρήστη και την οικογένειά του.

Παρόλο που οι πλατφόρμες των μέσων κοινωνικής δικτύωσης προσπαθούν να συμμορφωθούν με τον GDPR στις Πολιτικές Απορρήτου, στοχεύουν στα παιδιά ή συλλέγουν πληροφορίες από τα προφίλ της οικογένειας μέσω της εξαγωγής δεδομένων.

Δεν είναι τυχαίο, άλλωστε, που υπάρχουν επίσης οι περιπτώσεις των ‘moms influencers’ που μοιράζονται πληροφορίες όχι μόνο για τη δική τους ζωή, αλλά και των παιδιών τους, έχοντας ως σκοπό την προώθηση προϊόντων με διαφημίσεις, άρα το κέρδος, ή καθιστώντας τα παιδιά τους influencers στα κοινωνικά μέσα.

Ωστόσο, το ερώτημα είναι το εξής:

Τα δεδομένα στην εικόνα ανήκουν στα παιδιά και τι συμβαίνει όταν τα δικαιώματα που απορρέουν ασκούνται από τρίτους, όπως οι γονείς και οι έχοντες την γονική επιμέλεια; Αυτά τα δεδομένα σε ποιον ανήκουν; Και η ‘ιδιοκτησία των δεδομένων’ μπορεί να θεωρηθεί δικαίωμα ιδιοκτησίας;

Ιστορικά, τα παιδιά είναι υπό την ευθύνη των γονέων τους. Αυτή η θεμελιώδης αρχή παραμένει, αν και η ευαισθησία μας και η γλώσσα που χρησιμοποιούμε για να περιγράψουμε τη γονική σχέση έχει αλλάξει. Ο Ali Watson υποστηρίζει ότι παρά τις αλλαγές στην τεχνολογία, την κοινωνία και τον τρόπο με τον οποίο αντιλαμβανόμαστε την ανάπτυξη των παιδιών «η φύση των ίδιων των παιδιών έχει αλλάξει πολύ λίγο». Παρόλο που υπάρχει εκτενής βιβλιογραφία σχετικά με τις πρακτικές κληρονομιάς, οι πηγές που απευθύνονται άμεσα στα δικαιώματα ιδιοκτησίας των παιδιών είναι ελάχιστες.

Η απουσία νομικής ρύθμισης σχετικά με τα δικαιώματα ιδιοκτησίας των παιδιών οφείλεται στο γεγονός ότι τα παιδιά δεν έχουν πλήρη νομική προσωπικότητα, λόγω ηλικίας, ανωριμότητας και ευαλωτότητας, κάτι που τους απαγορεύει να ελέγχουν τα δικά τους συμφέροντα.

Ωστόσο, στο άρθρο 21 του Ν. 4624/2019 (άρθρο 6 και 8 του GDPR) για την προστασία των προσωπικών δεδομένων προβλέπεται το 15ο έτος ως όριο ηλικίας, όπου το παιδί μπορεί να δώσει την συναίνεσή του για την επεξεργασία των προσωπικών του δεδομένων κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών. Μ’ αυτόν τον τρόπο, ο νομοθέτης αναγνωρίζει ότι ένα παιδί-έφηβος/η στο 15ο έτος της ηλικίας του διαθέτει την στοιχειώδη ωριμότητα, ώστε να αντιληφθεί πιθανούς κινδύνους, να αντισταθμίσει τα οφέλη και να πάρει συνειδητά μία απόφαση.

Η Σύμβαση του ΟΗΕ για τα Δικαιώματα του Παιδιού εγγυάται στα παιδιά το δικαίωμα σε όνομα, εκπαίδευση, πολιτισμό, θρησκευτική ελευθερία, ενώ ενθαρρύνει τη δημοσίευση παιδικών βιβλίων. Ωστόσο, δεν αναφέρεται ρητά στα δικαιώματα ιδιοκτησίας των παιδιών. Πράγματι, αναφέρεται μόνο στην ιδιοκτησία, στο μέτρο που τα παιδιά δεν πρέπει να υφίστανται διακρίσεις εξαιτίας της ιδιοκτησίας τους ή της έλλειψης κυριότητας ιδιοκτησίας. Η  υπογραφή της Σύμβασης του ΟΗΕ για τα Δικαιώματα του Παιδιού αποτέλεσε κρίσιμη στιγμή για την αναγνώριση των δικαιωμάτων του παιδιού σε ένα νομικό κείμενο και για την καθιέρωση ενός σημαντικού κριτηρίου στο άρθρο 3 ότι «το πρωταρχικό μέλημα πρέπει να είναι το βέλτιστο συμφέρον του παιδιού». 

Η πρώτη σημαντική διεθνής σύμβαση για την αναγνώριση των δικαιωμάτων ιδιοκτησίας του παιδιού είναι η Σύμβαση της Χάγης του 1996 για τη γονική μέριμνα και την προστασία των παιδιών. Ειδικότερα, στο άρθρο 1, η Σύμβαση καλεί τα κράτη να «προστατεύσουν το πρόσωπο ή την περιουσία του παιδιού». Η συχνή χρήση της φράσης «πρόσωπο ή ιδιοκτησία του παιδιού» δηλώνει την αναγνώριση των σημερινών και μελλοντικών δικαιωμάτων ιδιοκτησίας του παιδιού.

Ωστόσο, πριν εξεταστεί ο ρόλος των γονέων σε αυτή την περίπτωση, θα πρέπει να διευκρινίσουμε την έννοια της ιδιοκτησίας των δεδομένων και της σχέσης της με τα δικαιώματα ιδιοκτησίας. Σύμφωνα με την Valentina Pavel, η κυριότητα είναι το αποκλειστικό δικαίωμα χρήσης, κατοχής και διάθεσης της περιουσίας. Πολλοί άνθρωποι αναπτύσσουν συναισθηματικά επιχειρήματα σχετικά με την ιδιοκτησία των δεδομένων, οπότε ένας νομικός ορισμός της ιδιοκτησίας είναι αναγκαίος, όπως και η σημασία που δίνεται από τις επιχειρήσεις.

Σύμφωνα με την Sylvie Delacroix, η διαρροή των δεδομένων μας καθιστά ευάλωτους. Η συνεχής, διαισθητική σχέση ιδιοκτησίας με τον έλεγχο φαίνεται να βασίζεται σε ένα πολύ συγκεκριμένο ιδεώδες ιδιοκτησίας, το οποίο αντικατοπτρίζεται στο ρητό, «το σπίτι κάποιου είναι το κάστρο του».

Η Sylvie Delacroix υποστηρίζει ότι η προσπάθεια του GDPR να περιορίσει την ελευθερία των συμβάσεων δεν αρκεί από μόνη της, ώστε να αντιστρέψει την ασυμμετρία εξουσίας μεταξύ αυτών που ελέγχουν τα δεδομένα και των υποκειμένων των δεδομένων. Η λύση σύμφωνα με την Sylvie Delacroix είναι η εμπιστοσύνη των δεδομένων, ένας μηχανισμός με τον οποίο τα υποκείμενα δεδομένων επιλέγουν να συγκεντρώσουν τα δεδομένα τους εντός του νομικού πλαισίου της εμπιστευτικότητας.

Τα δικαιώματα των γονέων στην ελευθερία της έκφρασης και της γονικής επιμέλειας μπορεί να έρθουν σε σύγκρουση, όπως και με το δικαίωμα στην ιδιωτικότητα των παιδιών

Όταν οι γονείς μοιράζονται πληροφορίες σχετικά με τα παιδιά τους στο διαδίκτυο, τις περισσότερες φορές το κάνουν χωρίς τη συγκατάθεση των παιδιών τους. Οι γονείς παίζουν τόσο τον ρόλο του ‘φύλακα’ και ‘προστάτη’ των προσωπικών δεδομένων των παιδιών τους όσο και του ‘αφηγητή’ των προσωπικών ιστοριών τους.

Αυτός ο διπλός ρόλος των γονέων συμβάλλει σημαντικά στην διαμόρφωση της ηλεκτρονικής ταυτότητας των παιδιών, ενώ τους παρέχει ελάχιστη προστασία. Προκαλείται μια σύγκρουση συμφερόντων, καθώς τα παιδιά μπορεί κάποια μέρα να αντιδράσουν στις δημοσιεύσεις που έκαναν πριν χρόνια οι γονείς τους και να  συνειδητοποιήσουν ότι δεν μπορούν να ελέγξουν πλέον το ψηφιακό τους αποτύπωμα. 

Πράγματι, τα πρωτοβάθμια Δικαστήρια στην Αυστρία κλήθηκαν να αντιμετωπίσουν την υπόθεση μιας δεκαοχτάχρονης κοπέλας, η οποία μήνυσε τους γονείς της, επειδή μοιράστηκαν 500 φωτογραφίες της με τους 700 διαδικτυακούς τους φίλους στο Facebook. Η κοπέλα συγκεκριμένα αναφέρει πως οι γονείς την δεν έβαλαν όρια και δεν σκέφτηκαν ότι μπορεί να αισθάνεται η ίδια αργότερα ντροπή για αυτές τις φωτογραφίες, αφού σε κάποιες απεικονίζεται ακόμα και γυμνή στην μπανιέρα. Για αυτό το λόγο, ζήτησε από το Δικαστήριο να αποσυρθούν αυτές οι φωτογραφίες και η ίδια να αποζημιωθεί οικονομικά.

Όταν οι γονείς δημοσιεύουν φωτογραφίες των παιδιών τους από την καθημερινότητά τους, μπορούν να εγγυηθούν ότι τα παιδιά τους δεν θα δυσαρεστηθούν από αυτές τις φωτογραφίες ή δε θα ζητήσουν να αφαιρεθούν αυτές οι φωτογραφίες;

Μόλις ‘ανέβει’ μία φωτογραφία στο διαδίκτυο, δεν μπορεί να εξαφανιστεί εύκολα. Το γεγονός ότι τα περισσότερα από τα παιδιά δεν μπορούν να εκφράσουν την γνώμη τους σε μικρή ηλικία, γιατί δεν αντιλαμβάνονται τι συμβαίνει, δεν σημαίνει ότι οι γονείς δεν πρέπει να ρωτήσουν την γνώμη τους, να τους εξηγήσουν για ποιο λόγο θέλουν αν μοιραστούν μία φωτογραφία τους και πως λειτουργεί ο ψηφιακός χώρος. 

Μια έρευνα ανέφερε ότι οι περισσότεροι γονείς κατά 89% δραστηριοποιούνται καθημερινά στο διαδίκτυο, ενώ μόλις το 11% δήλωσε ότι ανησυχούν σχετικά με την προστασία της ιδιωτικής τους ζωής και προσπαθούν να περιορίσουν τη χρήση του διαδικτύου.

Οι ‘Insta-Moms’, οι μητέρες που δημοσιεύουν συχνά τις φωτογραφίες των παιδιών τους στο Instagram, και οι ‘Moms-influencers’ συχνά επικρίνονται επειδή χρησιμοποιούν τις εικόνες των παιδιών τους με επικερδή τρόπο. Η έρευνα αυτή ανέφερε επίσης ότι μόνο το 14% των γονέων με παιδιά ηλικίας 9-12 ετών,  και το 48% των γονέων με παιδιά ηλικίας 13-17 ετών, έκριναν ότι το παιδί τους ήταν αρκετά ώριμο, ώστε να έχει αυτοτελές δικαίωμα στην ιδιωτικότητα στον ψηφιακό χώρο.

Το ‘Sharenting’ (από το parenting που σημαίνει γονική μέριμνα και το share που σημαίνει μοιράζομαι)  είναι η συνεχής συμπεριφορά των γονέων να μοιράζονται τα δεδομένα των παιδιών τους σαν να είναι δικά τους δεδομένα, στα πλαίσια της ιδιοκτησίας και της γονικής επιμέλειας. Η χρησιμοποίηση των φωτογραφιών των παιδιών με σκοπό το κέρδος, τις διαφημίσεις και τις χορηγίες είναι εντελώς διαφορετικό από την απλή λήψη φωτογραφιών.

Προωθώντας διάφορα προϊόντα, από παιχνίδια μέχρι ρούχα υψηλής ραπτικής, αυτά τα παιδιά μπορούν να κερδίσουν πολλά χρήματα για μία φωτογραφία. Χωρίς να μπορούν να υπογράψουν κάποια σύμβαση, τα κέρδη απλώς καταλήγουν στα χέρια των γονέων, δημιουργώντας δεοντολογικά και πρακτικά προβλήματα. Κάποιοι γονείς μπορεί να δημιουργούν λογαριασμούς ταμιευτηρίου ή να προσθέτουν τα κέρδη σε ένα κοινό ταμείο με τα παιδιά τους, ώστε να τα χρησιμοποιήσουν μόλις ενηλικιωθεί, αλλά τις περισσότερες φορές οι γονείς χρησιμοποιούν αυτά τα χρήματα πολύ πριν από την ενηλικίωση των παιδιών.

Ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον αλλά και πώς μπορούν να επωφεληθούν από τον σύγχρονο ψηφιακό κόσμο

Συνοψίζοντας, οι εταιρείες και οι γονείς πρέπει να συνεργάζονται και να ακολουθούν μία κοινή πολιτική και πρακτική που τους επιτρέπει να μην παραβιάζουν τα δικαιώματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων των παιδιών. Οι γονείς πρέπει να είναι πιο επιλεκτικοί με τις εταιρείες που επιλέγουν να συνεργαστούν, καθώς και να διασφαλίζουν διαρκώς ότι έχουν λάβει την ενημερωμένη συγκατάθεση του παιδιού πριν από την πραγματοποίηση οποιωνδήποτε δημοσιεύσεων.

Δεδομένου ότι το ψηφιακό περιβάλλον είναι πραγματικά ευρύ και ρευστό, ο ρόλος των γονέων είναι να εξοικειώσουν τα παιδιά τους με το νόημα και την ουσία της ιδιωτικής ζωής στο διαδίκτυο, να τους εξηγήσουν γιατί χρειάζονται τα όρια της ιδιωτικής ζωής στο ψηφιακό περιβάλλον, και πώς μπορούν να επωφεληθούν από τον ψηφιακό κόσμο, όχι μόνο με λόγια, αλλά και με το να αποτελούν το παράδειγμα με τις πράξεις τους.

Γράφει ο Βύρων Καβαλίνης*

Το SSL πλέον θεωρείται απαραίτητο σε ένα website γιατί προστατεύει τόσο το ίδιο, όσο και τον επισκέπτη. Επίσης, βοηθάει στην επισκεψιμότητα του website, καθώς μεγάλες μηχανές αναζήτησης έχουν ανακοινώσει ότι websites χωρίς SSL δεν θα εμφανίζονται πρώτα στα αποτελέσματα των αναζητήσεων.

Σκοπός του άρθρου αυτού είναι να παρουσιάσει τεχνικά πώς λειτουργεί ένα SSL. Μπορείτε να διαβάσετε περισσότερες πληροφορίες για τα πιστοποιητικά στο άρθρο του Γιάννη Κωνσταντινίδη.

Το SSL είναι ένα παγκόσμιο πρωτόκολλο το οποίο αναπτύχθηκε ώστε να παρέχει ασφάλεια στην μετάδοση των δεδομένων στο διαδίκτυο. Το SSL βεβαιώνει ότι τα δεδομένα που θα ανταλλαχθούν μεταξύ δύο συστημάτων (client, server) είναι αδύνατον να διαβαστούν από κάποιον τρίτο μη εξουσιοδοτημένο χρήστη.

Το SSL χρησιμοποιεί μεθόδους κρυπτογράφησης των δεδομένων που ανταλλάσσονται δημιουργώντας μια ασφαλή σύνδεση μεταξύ των δύο συστημάτων. Η λειτουργία του γίνεται μετά το TCP/IP πρωτόκολλο και πριν της εφαρμογές υψηλού επιπέδου όπως για παράδειγμα το HTTP/FPT/IMAP.

Ουσιαστικά αυτό που κάνει το πιστοποιητικό είναι να κρυπτογραφεί τις πληροφορίες που λαμβάνει από τις εφαρμογές υψηλού επιπέδου και στη συνέχεια να τις μεταδίδει.

Η Netscape το 1996 κυκλοφόρησε την έκδοση 3.0 του SSL το οποίο αποτέλεσε και τη βάση για την ανάπτυξη του πρωτοκόλλου TLS το οποίο πλέον έχει αντικαταστήσει το SSL ενώ συνεχίζουμε και το αναφέρουμε σαν απλό SSL.

Πώς λειτουργεί το πιστοποιητικό

Όπως αναφέραμε και παραπάνω το πιστοποιητικό δημιουργεί μια ασφαλή σύνδεση μεταξύ δύο συστημάτων και κρυπτογραφεί τα δεδομένα ώστε να μην μπορούν να “διαβαστούν” από κάποιο τρίτο μη εξουσιοδοτημένο χρήστη. Για να γίνει η σύνδεση αυτή χρησιμοποιούνται η συμμετρική και ασύμμετρη κρυπτογράφηση.

Τις δύο αυτές έννοιες έχει ήδη αναλύσει εξαιρετικά στο άρθρο του ο Αναστάσιος Αραμπατζής. Στο σημείο αυτό, θα τις εξηγήσουμε συνοπτικά με σκοπό να επικεντρωθούμε στη συνέχεια στη χρήση τους για τη λειτουργία του SSL.

Συμμετρική Κρυπτογράφηση

Στη συμμετρική κρυπτογράφηση τόσο ο αποστολέας όσο και ο παραλήπτης χρησιμοποιούν ένα κοινό κλειδί για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας. Η κρυπτογράφηση αυτή είναι πιο γρήγορη αλλά δεν είναι τόσο ασφαλής όσο η ασύμμετρη καθώς αν κάποιος τρίτος έχει το κλειδί πρόσβαση στο κλειδί της κρυπτογράφησης αυτόματα μπορεί να αποκρυπτογραφήσει και τα δεδομένα που ανταλλάσσονται.

Στην περίπτωση των υπολογιστών το κλειδί είναι ένας αριθμητικός κωδικός, το μέγεθος του οποίου ορίζεται από το πόσα bits τον αποτελούν.Ο πρώτος σημαντικός αλγόριθμος για κρυπτογράφηση δεδομένων μέσω υπολογιστή ήταν ο Data Encryption Stantard (DES) που αναπτύχθηκε από την IBM στις ΗΠΑ και εγκρίθηκε για χρήση το 1970. Ο DES χρησιμοποιεί κλειδί μήκους 56-bit, που διαθέτει πάνω από 72 τετράκις εκατομμύρια πιθανούς συνδυασμούς (72.057.594.037.927.936, για την ακρίβεια).

Πλέον, ο DES έχει αντικατασταθεί από τον αλγόριθμο Advanced Encryption Standard (AES), που χρησιμοποιεί κλειδιά 128, 192 ή 256-bit. Με την αύξηση των bit και οι πιθανοί συνδυασμοί έχουν αυξηθεί υπερβολικά πολύ. Ένα κλειδί 128-bit μπορεί να έχει πάνω από 300.000.000.000.000.000.000.000.000.000.000.000 πιθανούς συνδυασμούς. Ο μεγαλύτερος υπερυπολογιστής αυτή τη στιγμή στον κόσμο θα μπορούσε θεωρητικά να σπάσει τον DES σε 2 δευτερόλεπτα ενώ θα χρειαζόταν περίπου 250 δισεκατομμύρια χρόνια για να ελέγξει όλους τους συνδυασμούς του AES-128.

Άλλοι γνωστοί αλγόριθμοι είναι οι RC4, 3DES, IDEA, CAST5, Twofish, Serpent, Blowfish.

Ασύμμετρη κρυπτογράφηση

Ένα πρόβλημα της συμμετρικής κρυπτογράφησης είναι ότι αν κάποιος θέλει να στείλει κάτι κρυπτογραφημένο θα χρειαστεί με κάποιο τρόπο να μας στείλει και ένα αντίγραφο του κλειδιού του για να μπορέσουμε να το αποκρυπτογραφήσουμε.

Είναι κατανοητό ότι η μετάδοση του κλειδιού στο διαδίκτυο, που είναι ένα δημόσιο δίκτυο, θα έδινε την ευκαιρία σε οποιοδήποτε να έχει πρόσβαση σε αυτό και κατά συνέχεια να μπορεί να αποκρυπτογραφήσει και την πληροφορία που έχει σταλεί.

Αυτό το πρόβλημα λύνει η ασύμμετρη κρυπτογράφηση. Στην ασύμμετρη κρυπτογράφηση χρησιμοποιείται ένα public key το οποίο μπορεί μόνο να κρυπτογραφήσει την επικοινωνία η οποία μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο private key το οποίο είναι αποθηκευμένο και κρυφό. Με αυτό το τρόπο μόνο ο σωστός χρήστης μπορεί να αποκρυπτογραφήσει την πληροφορία που έχει λάβει. Η συγκεκριμένη κρυπτογράφηση είναι πιο ασφαλής αλλά απαιτεί μεγαλύτερη υπολογιστική ισχύ.

Συνοπτικά χρησιμοποιούνται δύο κλειδιά:
– Το Public key, που είναι δημόσιο και μπορεί να χρησιμοποιηθεί από οποιδήποτε για την κρυπτογράφηση δεδομένων.
– Το Private key, το οποίο είναι μυστικό και συνδέεται μαθηματικά με το Public key και είναι απαραίτητο για την αποκρυπτογράφηση.

Η διαδικασία ασφαλούς σύνδεσης

Όπως αναφέραμε παραπάνω, το TLS είναι το πρωτόκολλο κρυπτογράφησης του Internet και είναι ο διάδοχος του SSL (αλλά αναφέρεται ακόμα και σήμερα σαν SSL) και υπαγορεύει τα βήματα που πρέπει να ακολουθηθούν για να πραγματοποιηθεί μια ασφαλής σύνδεση.

Τα βήματα αυτά συμπεριλαμβάνουν, μεταξύ άλλων:
– ποια στοιχεία χρειάζεται να ανταλλάξουν ο υπολογιστής μας και ο server πριν δημιουργηθεί η ασφαλής σύνδεση
– ποιος αλγόριθμος Public/Asymmetric key θα χρησιμοποιηθεί και για την κρυπτογράφηση ποιων δεδομένων
– ποιος αλγόριθμος θα χρησιμοποιηθεί για το Symmetric key
– πόσο διάστημα θα διαρκέσει η σύνδεση (session) πριν χρειαστεί να ανανεωθεί

Για να δημιουργηθεί μια κρυπτογραφημένη επικοινωνία γίνεται χρήση τόσο της ασύμμετρης κρυπτογράφησης όσο και της συμμετρικής. Αρχικά και αφού έχει γίνει η αρχική επικοινωνία του browser με τον server και έγινε η επιβεβαίωση της ύπαρξης ενεργού πιστοποιητικού ξεκινάει η ασύμμετρη κρυπτογράφηση ενώ ακολουθεί η συμμετρική.

1. Ο browser στέλνει τα στοιχεία του στο server: ποιες εκδόσεις SSL και TLS υποστηρίζει, ποιους αλγόριθμους για την κρυπτογράφηση δεδομένων, στοιχεία που αφορούν το session (πχ ημερομηνία και ώρα έναρξης) και γενικά όσα στοιχεία χρειάζεται για να γίνει η σύνδεση.
2. Ο web server της σελίδας στέλνει τα αντίστοιχα στοιχεία του όσον αφορά το SSL/TLS, τους αλγόριθμους, το session κλπ. Επίσης στέλνει το digital certificate του.
3. Ο browser ελέγχει τρία πράγματα:
α) Αν το digital certificate προέρχεται από μια πιστοποιημένη Certificate Authority,
β) αν ισχύει ακόμα και
γ) αν συνδέεται με το site που έχουμε μπει.
4. Εφόσον είναι όλα καλά ο server στέλνει ένα αντίγραφο του ασύμμετρου δημόσιου κλειδιού του (public key). Με το κλειδί αυτό μπορεί να κρυπτογραφηθεί μόνο η πληροφορία ενώ για την αποκρυπτογράφηση της χρειάζεται το private key του server που είναι κρυμμένο και ασφαλές.
5. Με το public key του server, ο client δημιουργεί ένα συμμετρικό session key το οποίο κρυπτογραφεί με αυτό και το στέλνει σε αυτόν.
6. Ο server στη συνέχεια αποκρυπτογραφεί τα δεδομένα που του έχει στείλει ο client με το private key του κι έτσι έχει πλέον το συμμετρικό session key του client.
7. Πλέον ο client και o server κρυπτογραφούν και αποκρυπτογραφούν τα δεδομένα που στέλνουν και λαμβάνουν με τη χρήση του session key που έχουν και οι δύο πλέον. Αυτό επιτρέπει ένα ασφαλές κανάλι επειδή μόνο ο client και ο server γνωρίζουν το συμμετρικό session key και μόνο γι αυτή την περίοδο σύνδεσης. Αν ο περιηγητής χρειαστεί να συνδεθεί με τον server κάποια άλλη στιγμή τότε θα δημιουργηθεί νέο session key με τον παραπάνω τρόπο.

Το πιστοποιητικό SSL θεωρείται πλέον αναπόσπαστο κομμάτι μιας σελίδας. Η Google είχε ανακοινώσει ότι όσα sites δεν διαθέτουν ενεργό πιστοποιητικό δεν θα εμφανίζονται με προτεραιότητα στις αναζητήσεις των χρηστών, μια αλλαγή ιδιαίτερα σημαντική.

Από την πλευρά μας θα προτείναμε να ελέγχετε τις σελίδες που επισκέπτεστε ώστε να βεβαιωθείτε ότι διαθέτουν ενεργό πιστοποιητικό, ειδικά αν πρόκειται για online καταστήματα.

Μπορείτε να δείτε απλά βήματα ώστε να επιβεβαιώσετε ότι το πιστοποιητικό σας λειτουργεί κανονικά εδώ.

*Ο Βύρωνας είναι απόφοιτος του τμήματος Εφαρμοσμένης Πληροφορικής και Πολυμέσων του ΤΕΙ Ηρακλείου. Εργάζεται σε εταιρεία, η οποία δραστηριοποιείται στο χώρο του Web hosting και των domain names. Ασχολείται με την ανάπτυξη ιστοσελίδων και την ασφάλεια. Στο παρελθόν, έχει ασχοληθεί με τα πιστοποιητικά SSL.

Γράφουν οι Ελπίδα Βαμβακά*, Στέργιος Κωνσταντίνου*, Εμμανουήλ Τζιβιέρης*

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (στο εξής: “η Αρχή”) επέβαλε στον Οργανισμό Τηλεπικοινωνιών Ελλάδος Α.Ε. (εφεξής: “ΟΤΕ”) δύο πρόστιμα συνολικού ύψους 400.000 ευρώ αφενός για τη μη ικανοποίηση του δικαιώματος εναντίωσης και παραβίαση της αρχής της προστασίας των δεδομένων καθώς και για την παραβίαση  της αρχής της ακρίβειας και της προστασίας των δεδομένων  ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών της.

Οι σχετικές αποφάσεις είναι δημοσιευμένες στην ιστοσελίδα της Αρχής.

Α. Σύντομη περιγραφή των δύο αποφάσεων της Αρχής:

i) Ως προς την απόφαση 34/2019: μη ικανοποίηση του δικαιώματος εναντίωσης και παραβίαση της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών.

Στην Αρχή υποβλήθηκαν δύο (2) καταγγελίες φυσικών προσώπων συνδρομητών του ΟΤΕ από παραλήπτες μηνυμάτων διαφημιστικού περιεχομένου, σχετικά με την αδυναμία  διαγραφής τους από τη λίστα αποδεκτών μηνυμάτων διαφημιστικού περιεχομένου.

Κατά την εξέταση των καταγγελιών αυτών προέκυψε ότι, από το 2013 και μετά, λόγω τεχνικού σφάλματος, δεν λειτουργούσε η διαγραφή από τις λίστες αποδεκτών των μηνυμάτων διαφημιστικού περιεχομένου για όσους παραλήπτες άσκησαν το δικαίωμά τους αυτό, μέσω του συνδέσμου «unsubscribe» ενώ, οι εναλλακτικοί μηχανισμοί, δηλαδή τηλεφωνικά και  με αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου, λειτουργούσαν.

Μόλις αυτό έγινε αντιληπτό, μετά την παρέμβαση της Αρχής, διορθώθηκε το σφάλμα και o OTE προέβη στη διαγραφή 8.000 περίπου συνδρομητών, οι οποίοι είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν από τις λίστες αποδεκτών από το 2013.

Η Αρχή λοιπόν διαπίστωσε παράβαση του δικαιώματος εναντίωσης του υποκειμένου στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης (άρθρο 21 παρ. 3) του Κανονισμού καθώς και του άρθρου 25 (προστασία των δεδομένων ήδη από το σχεδιασμό) του Κανονισμού και επέβαλε διοικητικό πρόστιμο στον ΟΤΕ.

Πιο συγκεκριμένα, η Αρχή αξιολογώντας,

α. τη χρονική διάρκεια του συμβάντος κατά το οποίο συνδρομητές του ΟΤΕ στερήθηκαν του δικαιώματός τους (από το 2013, 8.000 περίπου συνδρομητές είχαν ανεπιτυχώς προσπαθήσει να διαγραφούν)

β. τα  στοιχεία που είναι δημόσια διαθέσιμα στο Γ.Ε.Μ.Η., από τα οποία προκύπτουν τα έσοδα του ομίλου ΟΤΕ για το έτος 2018 (2.887,6 εκατομμύρια ευρώ) και

γ.  ότι το συμβάν δεν οφείλεται σε δόλο του υπευθύνου επεξεργασίας

Επέβαλε στον ΟΤΕ διοικητικό πρόστιμο ύψους 200.000 ευρώ, με βάση τα κριτήρια του άρθρου 83 §2 του ΓΚΠΔ.

ii) Ως προς την απόφαση 31/2019: παραβίαση της αρχής της ακρίβειας και της προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών

Στην προκειμένη περίπτωση, υποβλήθηκαν καταγγελίες των πελατών του ΟΤΕ  με τις οποίες, οι καταναλωτές  παραπονέθηκαν ότι, παρότι είχαν εγγραφεί στο μητρώο του άρθρου 11 του νόμου 3471/2006,[1] συνέχιζαν  να λαμβάνουν  κλήσεις από τρίτες εταιρείες για απευθείας εμπορική προώθηση.

Όπως διαπιστώθηκε, οι εν λόγω συνδρομητές είχαν υποβάλει αίτημα φορητότητας για τη μεταφορά της τηλεφωνικής τους σύνδεσης σε άλλο πάροχο. Σε ικανοποίηση του αιτήματος των συνδρομητών, ο ΟΤΕ διέγραψε τα στοιχεία τους από το μητρώο. Ωστόσο, όταν οι συγκεκριμένοι συνδρομητές ακύρωσαν το αίτημα φορητότητας, δεν υπήρχε ορθή διαδικασία για την ακύρωση της διαγραφής τους από το τηρούμενο μητρώο του άρθρου 11.

Οι συνδρομητές εμφανίζονταν μεν ως εγγεγραμμένοι στο μητρώο στην εσωτερική εφαρμογή- σύστημα- του ΟΤΕ, αλλά οι τηλεφωνικοί αριθμοί τους δεν περιλαμβάνονταν στο μητρώο,  που έστειλε ο ΟΤΕ στις συνεργαζόμενες εταιρείες διαφήμισης, αφού τα δύο συστήματα λόγω του σφάλματος στη διασύνδεσή τους, δεν είχαν το ίδιο περιεχόμενο. Αποτέλεσμα αυτού ήταν οι συγκεκριμένοι συνδρομητές να λαμβάνουν διαφημιστικά μηνύματα παρότι είχαν εγγραφεί στο μητρώο του άρθρου 11.

Για την ανωτέρω περίπτωση η Αρχή έκρινε ότι, υπάρχει παράβαση μη ορθής τήρησης του μητρώου του άρθρου 11 ακόμη και όταν η  μη ορθή τήρηση οφείλεται σε επιβεβαιωμένο τεχνικό πρόβλημα καθώς συνεπάγεται: α) παράβαση της αρχής προστασίας των δεδομένων ήδη από τον σχεδιασμό κατά την τήρηση προσωπικών δεδομένων συνδρομητών της και της αρχής της ακρίβειας και β) στέρηση του δικαιώματος των συνδρομητών να μη λαμβάνουν αυτόκλητες διαφημιστικές κλήσεις, ενώ είχαν την εντύπωση ότι διασφαλιζόταν η άσκηση του δικαιώματος αυτού.

Με την 31/2019 απόφαση της Αρχής , η αρχή επέβαλε πρόστιμο ποσού διακοσίων χιλιάδων ευρώ (200.000) στον ΟΤΕ.

B) Κάποιες  σκέψεις

i) ως προς το επιβληθέν τελικά πρόστιμο

Το πρώτο πράγμα που διακρίνει κανείς διαβάζοντας τις δύο αποφάσεις είναι φυσικά το ύψος του επιβληθέντος προστίμου. Το σωρευτικό πρόστιμο των 400.000€ αποτελεί το υψηλότερο πρόστιμο που έχει επιβληθεί ποτέ από την Αρχή.

Υπενθυμίζεται ότι, το ανώτατο προβλεπόμενο πρόστιμο, σύμφωνα με τις διατάξεις του «παλιού» Ν. 2472/1997, ήταν οι 150.000 €, ενώ σε αυτό το ύψος ανήλθε και το πρόσφατο πρόστιμο που επέβαλε η Αρχή στην PwC με την υπ’ αριθμόν 26/2019 απόφαση της, εφαρμόζοντας, ωστόσο, τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων[2] (στο εξής ΓΚΠΔ). Αν και δε πρόκειται για το πρώτο πρόστιμο που επιβάλλει η Αρχή κατ’ εφαρμογή των διατάξεων του ΓΚΠΔ,  εντούτοις είναι η πρώτη φορά που ξεπερνά το «φράγμα» των 150.000€.

Επιπλέον, στις συγκεκριμένες αποφάσεις η Αρχή εφαρμόζει πιστά τα κριτήρια επιμέτρησης διοικητικών προστίμων, όπως προβλέπονται στο άρθρο 83 ΓΚΠΔ και όπως τα εφάρμοσε και στην 26/2019. Ειδικότερα στις σκέψεις 6, 7 και 8 αμφότερων των αποφάσεων, λαμβάνονται υπόψη τα εξής:

α) Η βαρύτητα και η διάρκεια της παράβασης,

β) Το πλήθος θιγόμενων υποκειμένων επεξεργασίας,

γ) Τα τεχνικά και οργανωτικά μέτρα που έλαβε ο υπεύθυνος της επεξεργασίας,

δ) Τον δόλο του υπευθύνου της επεξεργασίας

ε) Την οικονομική κατάσταση του υπεύθυνου επεξεργασίας,

στ) Προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ,

ζ) Η διάθεση συνεργασίας με την Αρχή.

Παράλληλα, η Αρχή με τις δύο αυτές αποφάσεις, στέλνει ηχηρό μήνυμα στους υπεύθυνους επεξεργασίας να μην υποτιμούν την υποχρέωση για ακρίβεια των δεδομένων και προστασία τους ήδη από τον σχεδιασμό, ενώ ιδιαίτερη έμφαση δίνεται στην τήρηση των κατάλληλων τεχνικών και οργανωτικών μέτρων με παράθεση συγκεκριμένων παραδειγμάτων ορθής συμμόρφωσης, όπως η τήρηση διαδικασίας ικανοποίησης δικαιωμάτων των υποκειμένων και η διενέργεια περιοδικών ελέγχων.

ii) Ως προς την αλληλεπίδραση του ν.3471/2006 και του ΓΚΠΔ

Οι καταγγελίες που οδήγησαν στην έκδοση των δύο αποφάσεων, έδωσαν την ευκαιρία στην Αρχή,  να ξεκαθαρίσει, στην Ελληνική εφαρμογή, τα ζητήματα που προκύπτουν  όταν οι διατάξεις του ΓΚΠΔ εφαρμόζονται ταυτόχρονα με τις διατάξεις του ν.3471/2006. O τελευταίος, αποτελεί ενσωμάτωση της οδηγίας για το e-Privacy[3] και ρυθμίζει την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών.

Με μια λιτή αλλά περιεκτική διατύπωση η Αρχή, με την υπ’ αριθμόν 31/2019 απόφασή της εύλογα έκρινε ότι “για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών που δεν ρυθμίζεται ειδικότερα στον ν. 3471/2006 εφαρμόζεται ο ΓΚΠΔ”.

Επί της ουσίας, η αρχή ξεκαθάρισε ότι, οι βασικές αρχές που διέπουν την επεξεργασία δεδομένων και που προβλέπονται στο άρθρο 5 και 25 του ΓΚΠΔ, καθώς και οι παράγωγες διατάξεις τους, τυγχάνουν πλήρους εφαρμογής σε όλους τους τύπους επεξεργασίας, συμπεριλαμβανομένης και της επεξεργασίας για την διεξαγωγή της ηλεκτρονικής επικοινωνίας. Πρακτικά εφαρμόζεται η αρχή «lex specialis derogate legi generali»[4] βάσει της οποίας ο ν.3471/2006, ως «lex specialis», εξειδικεύει τον ΓΚΠΔ σχετικά με τις ηλεκτρονικές επικοινωνίες. Συνεπώς, εν απουσία ειδικών διατάξεων, το lex generalis -δηλαδή ο ΓΚΠΔ- εφαρμόζεται[5].

Η απόφαση αυτή ουσιαστικά, αποτελεί την συνέχεια μιας παγιωμένης Ενωσιακής πρακτικής η οποία προσδιορίστηκε νομολογιακά,[6] νομοθετικά[7] και εκφράστηκε από την Ομάδα Εργασίας του άρθρου 29[8] και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (στο εξής ΕΣΠΔ)[9].

iii) ως προς τον τύπο ευθύνης του παρόχου

Και στις δύο αποφάσεις η Αρχή συμπεριλαμβάνει στο σκεπτικό της την ανυπαρξία δόλου από την πλευρά του υπευθύνου της επεξεργασίας.[10]

Η παράμετρος του δόλου και της αμέλειας παίζει ρόλο στον προσδιορισμό του ύψους του προστίμου αλλά και στην θεμελίωση της ευθύνης εκ μέρους του υπευθύνου της επεξεργασίας. Στον ΓΚΠΔ ορίζεται πως “[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας”[11] και πως “κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό.”[12] Επίσης, στο ν. 3471/2006 ορίζεται ρητά πως “[φ]υσικό ή νοµικό πρόσωπο που, κατά παράβαση του νόµου αυτού, προκαλεί περιουσιακή βλάβη υποχρεούται σε πλήρη αποζηµίωση”[13].

Και στα δύο ρυθμιστικά πλαίσια, οι προϋποθέσεις γέννησης της ευθύνης που προκύπτουν από την γραμματική ερμηνεία των διατάξεων είναι η ζημία, η παραβίαση του κανόνα και η αιτιώδης συνάφεια ανάμεσα σε αυτά τα δύο. Σε κανένα σημείο δεν προβλέπεται η ύπαρξη υπαιτιότητας για την θεμελίωση της ευθύνης. Κάτι που θα έπρεπε να αναφέρεται ρητά.[14]

Συνεπώς, προκύπτει πως κατ’αρχήν ο υπεύθυνος επεξεργασίας έχει γνήσια αντικειμενική ευθύνη για τις επεξεργασίες που πραγματοποιεί. Ωστόσο, η ευθύνη αυτή τρέπεται σε νόθο αντικειμενική από την τρίτη παράγραφο του άρθρου 82 του ΓΚΠΔ η οποία ορίζει ότι “[ο] υπεύθυνος επεξεργασίας […] απαλλάσσεται από την ευθύνη […] εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας”.

Το ίδιο ίσχυε με το νόμο 2472/1997[15] όπου κατ’ αρχήν με το άρθρο 23 θεμελιώνονταν γνήσια αντικειμενική ευθύνη. Ωστόσο, η δεύτερη παράγραφος του ίδιου άρθρου η οποία όριζε πως “[η] κατά το άρθρο 932 ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου […]  παράβαση οφείλεται σε αμέλεια”[16] και συνεπώς μετέτρεπε την ευθύνη του υπεύθυνου από γνήσια αντικειμενική, σε νόθο αντικειμενική[17].

Η άποψη ότι η ευθύνη του υπευθύνου επεξεργασίας είναι νόθος αντικειμενική υποστηρίχθηκε από την Ελληνική νομολογία[18] καθώς και από μια μερίδα της θεωρίας.[19] Το ότι ο πάροχος υπηρεσιών υπέχει νόθο αντικειμενική ευθύνη υποστηρίζεται και από τις εθνικές διατάξεις όμορων δικαιϊκών κλάδων, όπως το δίκαιο της προστασίας του καταναλωτή.[20]

Τέλος, βάσει της αρχής της λογοδοσίας[21] ο υπεύθυνος επεξεργασίας έχει το βάρος ευθύνης της απόδειξης της συμμόρφωσης του με τις βασικές αρχές της επεξεργασίας που προβλέπει ο ΓΚΠΔ. Συνεπώς και ως προς την συμμόρφωση του με τον Κανονισμό, η ευθύνη του υπεύθυνου συνιστά τελικά νόθο αντικειμενική ευθύνη.

[1] Σύμφωνα με το άρθρο 11 § 2 του ν.3471/2006, οι φορείς παροχής της επικοινωνίας υποχρεούνται να τηρούν ειδικό κατάλογο με τους  συνδρομητές που έχουν δηλώσει προς τον φορέα παροχής της  υπηρεσίας, ότι δεν επιθυμούν γενικώς να γίνονται δέκτες μη ζητηθείσας επικοινωνίας για σκοπούς μάρκετινγκ.

[2] Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

[3] Οδηγία 2002/21/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 7ης Μαρτίου 2002, σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών

[4] Απόφαση της 22ης Απριλίου 2016, RENV I και RENV II, Τ-50/06, EU:T:2016:227, σκέψη 81

[5] Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Γνώμη 5/2019 σχετικά με την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων, 12 Μαρτίου 2019, σ. 18

[6] Απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie, C-210/16, EU:C:2018:388, σκέψεις 33 -34

[7] ‘Άρθρο 95 σε συνδυασμό με την αιτιολογική σκέψη 173 ΓΚΠΔ

[8] Ομάδα Εργασίας του άρθρου 29 για την προστασία των δεδομένων, Γνώμη 2/2010 σχετικά με την επιγραμμική συμπεριφορική διαφήμιση, 22 Ιουνίου 2010, WP 171, σ. 11. Βλ. επίσης Γνώμη 1/2008 σχετικά με τα θέματα προστασίας δεδομένων σε σχέση με τις μηχανές αναζήτησης, 4 Απριλίου 2008,WP148, ενότητα 4.1.3, σ. 13-15

[9] Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Γνώμη 5/2019 σχετικά με την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων, 12 Μαρτίου 2019

[10] ΑΠΔΠΧ, Αποφάσεις 31/2019,Γ/ΕΞ/6223/13-09-2019 και 34/2019 Γ/ΕΞ/6549/30-09-2019, σκέψη 8

[11] Άρθρο 82§1 ΓΚΠΔ

[12] Άρθρο 82§2 εδ.α’ ΓΚΠΔ

[13] Άρθρο 14§1 εδ.α’’ ν.3471/2006

[14] Αι. Βραττή (2012), Η αστική ευθύνη στο νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα, Διπλωματική εργασία, σ.42. Διαθέσιμο στο https://pergamos.lib.uoa.gr/uoa/dl/frontend/file/lib/default/data/1321570/theFile (τελευταία πρόσβαση 13/10/2019)

[15] Άρθρο 21§1 εδ.α’ ν.2472/1997 και Άρθρο 21§1 εδ.γ’ ν.2472/1997

[16] Άρθρο 21§2 ν.2472/1997

[17] Αι. Βραττή (2012), Η αστική ευθύνη στο νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα, Διπλωματική εργασία, σ.43. Διαθέσιμο στο https://pergamos.lib.uoa.gr/uoa/dl/frontend/file/lib/default/data/1321570/theFile (τελευταία πρόσβαση 13/10/2019)

[18] ΑΠ 1923/2006, ΝοΒ 2006, σελ 367, ΑΠ 353/2009, ΝοΒ 2009, σελ 1428, ΑΠ 174/2011, ΝοΒ 2011, σελ 1606

[19] Ι. Ιγγλεζάκης, Ευαίσθητα Προσωπικά Δεδομένα, Εκδόσεις Σάκκουλας,Αθήνα-Θεσσαλονίκη 2004, σ. 283-284

[20] Άρθρο 8 του Ν. 2251/1994 περί «προστασίας καταναλωτών», όπως αυτό τροποποιήθηκε με το άρθρο 10 του Ν. 3587/2007

[21] Η οποία ρυθμίζεται με τα άρθρα 5,77,82 και 83 ΓΚΠΔ

---

*Η Ελπίδα Βαμβακά είναι πρόεδρος της Homo Digitalis και νομική σύμβουλος της Enartia Group.

*Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με εξειδίκευση στην προστασία προσωπικών δεδομένων.

*Ο Εμμανουήλ Τζιβιέρης είναι Υπεύθυνος Προστασίας Δεδομένων (DPO) της Optima Bank.

Γράφει ο Δημήτρης Ντόσας*

Υπάρχει -διεθνώς- μια παραδοξότητα που βρίσκεται σε εξέλιξη.

Από τη μία πλευρά, παρατηρείται μια ολοένα αυξανόμενη ευαισθητοποίηση του κόσμου στον τομέα των προσωπικών δεδομένων, της online παρακολούθησης, των ψηφιακών δικαιωμάτων. Από την άλλη, πολλοί και πολλές τείνουν να πιστεύουν πως η ιδιωτικότητα δεν είναι θέμα μείζονος σημασίας καθώς “δεν έχουν κάτι να κρύψουν”.

Αυτό συμβαίνει για πολλούς λόγους. Η κυρίαρχη αφήγηση θέλει να συνδέσει τη μαζική παρακολούθηση με την έρευνα για άσκηση παράνομων δραστηριοτήτων. Ταυτόχρονα, θεωρούμε πως οι μεγάλες εταιρείες του GAFAM (Google, Apple, Facebook, Amazon και Microsoft), και όχι μόνο, ασφαλίζουν επαρκώς τα δεδομένα μας οπότε δεν υπάρχει λόγος να φοβόμαστε την έκθεση.

Είναι όμως έτσι; Χρειάζεται να είσαι εγκληματίας ή τεχνοφρικιό (sic) για να σε απασχολεί το τι συμβαίνει με το ψηφιακό σου αποτύπωμα;

Μάλλον όχι!

Όπως πολύ εύστοχα είχε αναφέρει ο Edward Snowden, “το να λες ότι το δικαίωμα στην ιδιωτικότητα δε σε αφορά, επειδή δεν έχεις κάτι να κρύψεις, είναι το ίδιο με το να λες ότι το δικαίωμα της ελεύθερης έκφρασης δε σε αφορά, επειδή δεν έχεις κάτι να πεις”.

Στο παρόν άρθρο δεν έχουμε σκοπό να δώσουμε έτοιμες απαντήσεις, αλλά να θέσουμε το ερώτημα στη ορθή του βάση.

“Data is the new Oil”

Η τελευταία δεκαετία είναι μια πολύ συμπυκνωμένη ιστορικά περίοδος σε σχέση με την ενσωμάτωση της ανθρωπότητας στον ψηφιακό κόσμο.

Ο Homo Consumus υπέστη μια βίαιη μετάβαση, καθώς πολλές πρακτικές της καθημερινότητάς του μεταφέρθηκαν, ολοκληρωτικά ή μερικώς, σε ψηφιακό περιβάλλον.

Δραστηριότητες που άπτονται της επικοινωνίας, της ψυχαγωγίας, της κατανάλωσης, της αναζήτησης πληροφοριών, κλπ. είναι πλέον μόνο ένα “κλικ” μακριά.

Τα τελευταία χρόνια, η κάλυψη πολλών αναγκών μας γίνεται ευκολότερα και αποδοτικότερα μέσω των νέων τεχνολογιών και καινοτομιών, αλλά ταυτόχρονα παρουσιάζονται και δυνατότητες που χρήζουν συζήτησης.

Δυνατότητα 1: Οι ηλεκτρονικές συσκευές έχουν εξελιχθεί τόσο, ώστε να έχουν πλέον τη δυνατότητα καταγραφής μεγάλου εύρους της συμπεριφοράς και του περιβάλλοντος μας. Σκεφτείτε πόσα διαφορετικά είδη δεδομένων μπορούν να συλλέξουν οι σένσορες ενός έξυπνου κινητού. Τα δεδομένα αυτά αφορούν από τη θερμοκρασία και την τοποθεσία στην οποία βρισκόμαστε, μέχρι το πότε κοιμόμαστε κ.ο.κ. Επιπλέον, υπηρεσίες όπως οι μηχανές αναζήτησης και τα social media, συλλέγουν αναλυτικά στοιχεία για το τι διαβάζουμε, πώς αντιδρούμε σε αυτά, με ποιους και τι μοιραζόμαστε. Η λίστα είναι -σχεδόν- ατελείωτη.

Δυνατότητα 2: Είναι η πρώτη φορά που τα δεδομένα και οι πληροφορίες που προκύπτουν, μπορούν να καταγραφούν, να αποθηκευτούν και να επεξεργαστούν σε τόσο μεγάλους όγκους.

Ο συνήθης κύκλος ζωής -πλέον- μιας δραστηριότητας που γίνεται με ψηφιακό τρόπο είναι: α) να καταγραφεί από κάτι για κάποιον-κάπου, β) να αποθηκευτεί και να επεξεργαστεί, γ) να συνδυαστεί με άλλες για να παραχθούν συμπεράσματα.

Οι περιπτώσεις χρήσης που προκύπτουν ήταν αρκετές ώστε να καταστήσουν τη συλλογή και επεξεργασία δεδομένων ένα αγαθό με αξία τέτοια, που να θέτει σε αμφισβήτηση ακόμα και την πρωτοκαθεδρία του μαύρου χρυσού στην αντίστοιχη κλίμακα.

Είναι μια διαρκής καταγραφή της καθημερινής πρακτικής του ατόμου. Ένας τεράστιος όγκος στοιχείων που η σύνθεση τους μπορεί με μεγάλη ακρίβεια να προσδιορίσει ποιοι είμαστε, πώς ζούμε και επικοινωνούμε, πώς ερωτευόμαστε, τι ανάγκες έχουμε, τις πολιτικές-κοινωνικές πεποιθήσεις και πολλά άλλα

From personal profiling to social trends

Η ψηφιοποίηση της ζωής μας αποκτά ακόμα μεγαλύτερο ενδιαφέρον, διότι παράγει ένα μοναδικό προφίλ για τον καθένα και την καθεμιά από εμάς. Τα δεδομένα και τα μεταδεδομένα [1] της διαδικτυακής μας κίνησης μπορούν να σχηματίσουν ένα πολύ ακριβές και πλούσιο ψηφιδωτό της ψηφιακής μας ταυτότητας.

Μπορείτε ενδεικτικά να δείτε και εδώ και εδώ, μερικά από τα στοιχεία που διατηρούν δυο τεχνολογικοί κολοσσοί για εμάς.

Κάποιος θα ισχυριστεί ότι δεν έχει δα και τόση σημασία αν κάποιος γνωρίζει για σένα τι ψώνισες χθες από το σουπερμάρκετ, τι μουσική άκουσες το πρωί, πόσο συχνά μπαίνεις στο Instagram. Όλα τα παραπάνω είναι φαινομενικά ασήμαντα.

Ακόμα και αν ήταν δημόσια όλα αυτά τα στοιχεία για τη ζωή κάποιου, δε θα απειλούνταν με άμεσο τρόπο η προσωπικότητα και η ελευθερία του σε μια φαινομενικά δημοκρατική κοινωνία.

Όντως, το να γνωρίζει κάποιος π.χ. τι μουσική άκουσες το πρωί, δεν έχει τόσο μεγάλη αξία από μόνο του.

Τι γίνεται, όμως, αν βρίσκεται υπό την κατοχή κάποιου ένα μεγάλο υποσύνολο του ψηφιακού ιστορικού σου;

Ποια άρθρα διάβασες, σε ποια νέα της επικαιρότητας έκανες like, με ποιους επικοινώνησες, τις αναζητήσεις σου στο Google, τις ώρες που είσαι ενεργός, μέχρι και τι φαγητό παρήγγειλες. Δε μιλάμε πλέον για ασύνδετα και μεμονωμένα δεδομένα και σίγουρα, δεν αναφερόμαστε πλέον σε μια συγκεκριμένη χρονική στιγμή. Είναι μια διαρκής καταγραφή της καθημερινής πρακτικής του ατόμου. Ένας τεράστιος όγκος στοιχείων που η σύνθεση τους μπορεί με μεγάλη ακρίβεια να προσδιορίσει ποιοι είμαστε, πώς ζούμε και επικοινωνούμε, πώς ερωτευόμαστε, τι ανάγκες έχουμε, πολιτικές-κοινωνικές πεποιθήσεις που ασπαζόμαστε και πληθώρα άλλων πραγμάτων.

Μεγαλώνοντας την κλίμακα παρατήρησης, αν αθροιστούν όλα αυτά τα ατομικά προφίλ, μπορούν να σχηματίσουν κοινότητες. Μπορούν να εξαχθούν κοινωνικές τάσεις σχηματίζοντας πλήθη με βάση γεωγραφικά κριτήρια, το φύλο, την εθνικότητα, τις καταναλωτικές συνήθειες, τα πολιτικά πιστεύω και μια σειρά άλλων διαστάσεων.

Είναι η στιγμή, που από χρήστες μιας πλατφόρμας γινόμαστε προϊόντα μια συναλλαγής, που δε θα μάθουμε ποτέ

If you are not paying for the product, the product is you

Οι δυνατότητες της νέας εποχής προφανώς δεν έχουν μείνει ανεκμετάλλευτες. Σχεδόν κάθε γνωστή εφαρμογή ή υπηρεσία που χρησιμοποιούμε στο διαδίκτυο, συλλέγει προσωπικά δεδομένα μας.

Αναρωτηθήκατε ποτέ ποιο είναι το επιχειρηματικό μοντέλο εταιρειών σαν τη Facebook και τη Google? Γιατί μας παρέχουν τόσο ποιοτικές υπηρεσίες δωρεάν; Το κάνουν γιατί κερδίζουν τα πολλαπλάσια από αυτά που ξοδεύουν μέσω της εκμετάλλευσης των δεδομένων και του περιεχομένου που εμείς παράγουμε. Είτε δίνοντας τη δυνατότητα σε ένα διαφημιστή για βέλτιστη εξατομικευμένη προώθηση προϊόντων είτε πουλώντας (με έντεχνο, νόμιμο (;) και ηθικό τρόπο, sic) τα δεδομένα σε τρίτα μέρη, όπως δημοσκοπικές εταιρείες και συμβούλους πολιτικής καμπάνιας, κ.ο.κ.

Εάν κάποιος σας έκανε 100 ερωτήσεις σχετικά με την προσωπική σας ζωή για να τα πουλήσει, θα του απαντούσατε; Πιθανώς όχι. Αλλά το αφήνουμε να συμβαίνει κάθε φορά που χρησιμοποιούμε μια υπηρεσία, που αποκομίζει κέρδη πουλώντας τις πληροφορίες μας. Είναι η στιγμή που, από χρήστες μιας πλατφόρμας γινόμαστε προϊόντα μια συναλλαγής, που δε θα μάθουμε ποτέ.

Και το σημαντικό βέβαια εδώ δεν είναι μόνο τα κέρδη. Αυτό που προκαλεί προβληματισμούς είναι ότι όλος αυτός ο όγκος πληροφοριών είναι εκεί, πάντα διαθέσιμος για κάποιον να τον εκμεταλλευτεί για σκοπούς που δεν μπορούμε να γνωρίζουμε και, προφανώς, ούτε να ελέγξουμε. Τι θα γινόταν αν όλη αυτή η πληροφορία έπεφτε σε “λάθος χέρια”;

Σε μια φαινομενικά πιο αθώα περίπτωση, τα παραπάνω χρησιμοποιούνται από ένα διαφημιστή για λόγους μάρκετινγκ. Στη νέα ζοφερή πραγματικότητα, όμως, έχουν χρησιμοποιηθεί και για να χειραγωγήσουν το αποτέλεσμα των εκλογών σε μια από τις πιο ισχυρές χώρες του πλανήτη, τις ΗΠΑ. Ναι, έχει συμβεί και αξίζει το θέμα λίγο από το χρόνο σας, δείτε περισσότερα εδώ.

Privacy Matters

Ο ερχομός του Διαδικτύου είχε ενθουσιώδη χαρακτηριστικά και ένα από αυτά αποτελεί το γεγονός πως είναι το μόνο μέσο όπου, θεωρητικά και πρακτικά, εμείς επιλέγουμε με ποιες πληροφορίες θα αλληλεπιδράσουμε.

Ταυτόχρονα, η ολοένα και αυξανόμενη ψηφιακή έκθεση μας καθιστά ευάλωτους τόσο σε προσωπικό, όσο και συλλογικό επίπεδο. Όσοι έχουν πρόσβαση στο ψηφιακό μας αποτύπωμα, ασχέτως των προθέσεων τους, έχουν τη δυνατότητα της άμεσης ή έμμεσης παρακολούθησης ποικίλων πτυχών της ζωής μας.

Σε αυτό το νέο περιβάλλον, η ιδιωτικότητα είναι αναγκαία προϋπόθεση εξέλιξης. Είναι κάτι που χρειαζόμαστε για να εξερευνήσουμε τον εαυτό μας, να αποκτήσουμε γνώση και να πάρουμε αποφάσεις σχετικά με τη ζωή μας. Είναι κάτι που μπορεί να διασφαλίσει την ποιότητα της περιήγησης και την αποφυγή εσφαλμένων κατηγοριοποιήσεων του εαυτού μας με ταμπέλες που μπορούν εν δυνάμει να στραφούν εναντίον μας.

Είναι μια προϋπόθεση απαραίτητη ώστε να μπορεί κάποιος να εξερευνήσει τη σεξουαλικότητα του χωρίς να χρειάζεται μετά να γίνεται στόχος διαφημιστικών μηνυμάτων, λόγω των προτιμήσεων του. Είναι προϋπόθεση, ώστε ένας εργαζόμενος να μπορεί να ψάξει μια εναλλακτική στην καριέρα του, χωρίς το φόβο ότι θα ενημερωθεί ο εργοδότης του. Είναι προϋπόθεση για να μπορούμε να εξερευνήσουμε ιδεολογίες και γνώση χωρίς να στιγματιστούμε από κάποιον αλγόριθμο ως “ακραίοι”. Τα παραδείγματα είναι πολλά.

Και η ουσία σε αυτό το σημείο είναι πως χωρίς την έννοια της ιδιωτικότητας, αυτής της μορφής η αυτο-εξερεύνηση δεν υφίσταται.

Η αξία κάθε νέας τεχνολογίας και καινοτομίας έγκειται στη χρήση τους

Αντί επιλόγου

Την τελευταία δεκαετία έχουν ωριμάσει τεχνολογίες με επαναστατικά χαρακτηριστικά ως προς τις δυνατότητες τους. To Διαδίκτυο, οι έξυπνες ηλεκτρονικές συσκευές, τα Big Data, η τεχνητή νοημοσύνη αποτελούν στοιχεία, που μπορούν να διαδραματίσουν σημαντικό ρόλο στην πρόοδο των επιστημών και της ανθρωπότητας.

Όμως, το νόμισμα αυτό έχει δύο όψεις. Και πέρα από το θετικό κοινωνικό αντίκτυπο που μπορεί φυσικά να προκύψει, πρέπει να τονίσουμε και προκαταβάλουμε τις ανησυχητικά αρνητικές συνέπειες που εμφανίζονται από την καταχρηστική εκμετάλλευση τους.Γιατί, εν τέλει, η αξία κάθε νέας τεχνολογίας και καινοτομίας έγκειται στη χρήση τους.

Αν θέλουμε να απολαμβάνουμε τα προνόμια της νέας ψηφιακής εποχής χωρίς να κινδυνεύουν οι προσωπικές μας ελευθερίες, οφείλουμε να θωρακίσουμε τους εαυτούς και τις κοινωνίες μας από αυτό το νέο είδος biased διαμεσολάβησης.

Και η πρωταρχική συνθήκη για να το πετύχουμε, είναι να επαναπροσδιορίσουμε τη στάση μας απέναντι στο μετασχηματισμό των προσωπικών δεδομένων από πυρήνα των ατομικών δικαιωμάτων σε κάτι που δεν μας ανήκει, σε κάτι στο οποίο δεν έχουμε ιδιοκτησία, παρά μόνον πρόσβαση.

Το ερώτημα, τελικά, δεν είναι αν υπάρχουν πράγματα που χρειάζεται να “κρύψουμε”, αλλά πόσα είναι αυτά και γιατί.

[1] Ποια η διαφορά δεδομένων και μετα-δεδομένων; Για παράδειγμα σκεφτείτε μια τηλεφωνική κλήση. Τα δεδομένα της κλήσης είναι το τι είπατε, ενώ τα μετα-δεδομένα είναι, τι ώρα καλέσατε, από πού μιλήσατε και πόσο διήρκεσε η κλήση, κτλπ.

* Ο Δημήτρης Ντόσας είναι Μηχανικός Υποδομών και Κυβερνοασφάλειας. Συμμετέχει επί έτη σε έργα συμμόρφωσης δημόσιων και ιδιωτικών οργανισμών στους τομείς της Ασφάλειας Πληροφοριών και επεξεργασίας Προσωπικών Δεδομένων.

Γράφει ο Αναστάσιος Αραμπατζής*

Η κρυπτογράφηση βασίζεται στην επιστήμη της κρυπτογραφίας, η οποία είναι τόσο παλιά όσο και η ανάγκη του κόσμου να κρατήσει ορισμένες πληροφορίες μυστικές. Η κρυπτογραφία χρησιμοποιείται για τη διασφάλιση και την προστασία των δεδομένων κατά τη στιγμή της επικοινωνίας. Πριν από την ψηφιακή εποχή, οι μεγαλύτεροι χρήστες της κρυπτογραφίας ήταν οι κυβερνήσεις, ιδιαίτερα για στρατιωτικούς σκοπούς. Η κρυπτογραφία έχει μακρά ιστορία, που χρονολογείται από την εποχή που οι αρχαίοι Έλληνες και Ρωμαίοι έστελναν μυστικά μηνύματα υποκαθιστώντας γράμματα, αποκρυπτογραφούμενα μόνο με τη χρήση ενός μυστικού κλειδιού.

Για τη μεταφορά ευαίσθητων πληροφοριών, ένα σύστημα πρέπει να είναι σε θέση να διασφαλίζει τη μυστικότητα (secrecy) και την ιδιωτικότητα (privacy). Ένα σύστημα επικοινωνιών δεν μπορεί να αποτρέψει με απόλυτο τρόπο τη μη εξουσιοδοτημένη πρόσβαση στα μέσα μετάδοσης.

Η αλλοίωση των δεδομένων, η πράξη της σκόπιμης τροποποίησης των δεδομένων μέσω ενός μη εξουσιοδοτημένου καναλιού, δεν είναι ένα νέο πρόβλημα. Η αλλαγή της πληροφορίας θα μπορούσε, ενδεχομένως, να την προστατεύσει από μη εξουσιοδοτημένη πρόσβαση και, ως εκ τούτου, μόνο ο εξουσιοδοτημένος αποδέκτης να μπορεί να την κατανοήσει.

Η κρυπτογράφηση και η αποκρυπτογράφηση είναι οι δύο βασικές λειτουργίες της κρυπτογραφίας.

Ιστορία της κρυπτογράφησης

Οι αρχαίοι Έλληνες χρησιμοποιούσαν ένα εργαλείο που ονομαζόταν Σκυτάλη για να επιτύχουν ταχύτερη κρυπτογράφηση των μηνυμάτων τους. Τύλιγαν μία λωρίδα περγαμηνής γύρω από ένα πολύπλευρο κύλινδρο, έγραφαν το μήνυμα και στη συνέχεια, όταν η περγαμηνή ξετυλίγονταν, το κείμενο δεν είχε νόημα.

Αυτή η μέθοδος κρυπτογράφησης μπορούσε φυσικά να “σπάσει” εύκολα, αλλά είναι ένα από τα πρώτα παραδείγματα κρυπτογράφησης που χρησιμοποιήθηκαν ιστορικά.

Ο Ιούλιος Καίσαρας χρησιμοποίησε μια κάπως παρόμοια μέθοδο, μεταθέτοντας κάθε γράμμα της αλφαβήτου προς τα δεξιά ή προς τα αριστερά κατά μια προκαθορισμένη σειρά θέσεων, μια τεχνική κρυπτογράφησης που έμεινε γνωστή ως ο “Κώδικας του Καίσαρα”.

Δεδομένου ότι μόνο ο προορισμένος παραλήπτης του μηνύματος γνώριζε τον κώδικα, ήταν δύσκολο για οποιοδήποτε άλλο άτομο να αποκωδικοποιήσει το μήνυμα.

Κατά τη διάρκεια του Β Παγκοσμίου Πολέμου, οι Γερμανοί χρησιμοποίησαν τη μηχανή Enigma για να μεταβιβάσουν κρυπτογραφημένες μηνύματα προς και από το πεδίο της μάχης.

Οι συμμαχικές δυνάμεις χρειάστηκαν αρκετά χρόνια πριν μπορέσουν να σπάσουν τον κώδικα, γεγονός που συνέβαλε στη νίκη τους.

Τι είναι όμως η κρυπτογράφηση;

Η κρυπτογράφηση (encryption) είναι η διαδικασία κατά την οποία ο αποστολέας μετατρέπει την αρχική πληροφορία σε άλλη μορφή και μεταδίδει το προκύπτον ακατανόητο μήνυμα μέσω ενός ανοικτού δικτύου.

Ο αποστολέας χρησιμοποιεί έναν αλγόριθμο κρυπτογράφησης και ένα κλειδί για τη μετατροπή του απλού κειμένου (αρχικού μηνύματος) σε κρυπτοκείμενο (κρυπτογραφημένο μήνυμα).

Το απλό κείμενο (plaintext) είναι τα δεδομένα που πρέπει να προστατευθούν κατά τη διάρκεια της μετάδοσης.

Το κρυπτοκείμενο (cipher text) είναι το κωδικοποιημένο κείμενο που παράγεται ως αποτέλεσμα του αλγόριθμου κρυπτογράφησης για τον οποίο χρησιμοποιείται ένα συγκεκριμένο κλειδί.

Ο αλγόριθμος κρυπτογράφησης είναι ένας κρυπτογραφικός αλγόριθμος στον οποίο εισάγεται ένα απλό κείμενο και ένα κλειδί κρυπτογράφησης και παράγει ένα κρυπτογραφημένο κείμενο.

Εικόνα 1: Κρυπτογράφηση και Αποκρυπτογράφηση

Τι είναι η αποκρυπτογράφηση;

Η αποκρυπτογράφηση (decryption) αναστρέφει τη διαδικασία της κρυπτογράφησης για να μετατρέψει το μήνυμα στην αρχική του μορφή.

Ο δέκτης χρησιμοποιεί έναν αλγόριθμο αποκρυπτογράφησης και ένα κλειδί για να μετατρέψει το κρυπτοκείμενο στο αρχικό, απλό κείμενο.

Ο αλγόριθμος αποκρυπτογράφησης είναι μια μαθηματική διαδικασία που χρησιμοποιείται για την αποκρυπτογράφηση και παράγει το αρχικό απλό κείμενο ως αποτέλεσμα οποιουδήποτε δεδομένου κρυπτογραφημένου κειμένου και του κλειδιού αποκρυπτογράφησης.

Είναι η αντίστροφη διαδικασία του αλγόριθμου κρυπτογράφησης.

Κλειδιά κρυπτογράφησης και αποκρυπτογράφησης

Τα κλειδιά είναι τυχαία σειρά δυαδικών ψηφίων (bits) που δημιουργούνται ειδικά για την κρυπτογράφηση και αποκρυπτογράφηση δεδομένων.

Τα κλειδιά που χρησιμοποιούνται για κρυπτογράφηση και αποκρυπτογράφηση μπορεί να είναι είτε παρόμοια είτε ανόμοια, ανάλογα με τον τύπο των κρυπτοσυστημάτων που χρησιμοποιούνται (κρυπτογράφηση συμμετρικού κλειδιού ή  κρυπτογράφηση ασύμμετρου ή δημόσιου κλειδιού).

Κάθε κλειδί είναι μοναδικό και δημιουργείται μέσω ενός αλγορίθμου ώστε να εξασφαλιστεί ότι δεν είναι προβλέψιμο. Τα κλειδιά παράγονται συνήθως με γεννήτριες τυχαίων αριθμών ή με αλγορίθμους υπολογιστών που μιμούνται γεννήτριες τυχαίων αριθμών.

Η κρυπτογράφηση συμμετρικού κλειδιού (symmetric key encryption) αναφέρεται στους αλγορίθμους που χρησιμοποιούν το ίδιο μυστικό κλειδί τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση.

Εικόνα 2: Κρυπτογράφηση Συμμετρικού Κλειδιού

Η κρυπτογράφηση ασύμμετρου ή δημόσιου κλειδιού (asymmetric or public key encryption)  αναφέρεται στους αλγόριθμους που χρησιμοποιούν ένα ζεύγος κλειδιών για τον σκοπό της κρυπτογράφησης.

Το δημόσιο κλειδί (public key) είναι διαθέσιμο σε οποιοδήποτε τυχαίο άτομο, ενώ το απόρρητο, ιδιωτικό κλειδί (private key) διατίθεται μόνο στον παραλήπτη του μηνύματος.

Βασικές διαφορές μεταξύ κρυπτογράφησης και αποκρυπτογράφησης

Παρακάτω παρατίθενται οι βασικές διαφορές μεταξύ της κρυπτογράφησης και της αποκρυπτογράφησης:

-Ο αλγόριθμος κρυπτογράφησης χρησιμοποιεί κατά τη διαδικασία κρυπτογράφησης ένα πρωτότυπο μήνυμα σε μια αναγνώσιμη μορφή, που ονομάζεται απλό κείμενο, και ένα κλειδί για να μετατρέψει το απλό κείμενο σε μια ακατανόητη και ασαφή μορφή που δεν μπορεί να ερμηνευτεί. Κατά τη διαδικασία της αποκρυπτογράφησης ο αλγόριθμος αποκρυπτογράφησης μετασχηματίζει, χρησιμοποιώντας το μυστικό κλειδί, την κρυπτογραφημένη μορφή του μηνύματος, το κρυπτοκείμενο, σε μορφή που μπορεί να κατανοηθεί από έναν άνθρωπο.

-Η κρυπτογράφηση πραγματοποιείται στη μεριά του αποστολέα, που καλείται πηγή, ενώ η αποκρυπτογράφηση πραγματοποιείται στο δέκτη, ο οποίος ονομάζεται προορισμός.

-Η κύρια λειτουργία της κρυπτογράφησης είναι η μετατροπή του απλού κειμένου σε κρυπτοκείμενο, ενώ η κύρια λειτουργικότητα της αποκρυπτογράφησης είναι η μετατροπή του κρυπτοκειμένου σε απλό κείμενο.

-Η κρυπτογράφηση πραγματοποιείται αυτόματα στην πηγή, όταν αποστέλλονται δεδομένα από ένα μηχάνημα. Προγράμματα που είναι προεγκατεστημένα μετασχηματίζουν τις αρχικές πληροφορίες σε κρυπτογραφημένη μορφή πριν από την αποστολή.

-Η αποκρυπτογράφηση πραγματοποιείται αυτόματα στο μηχάνημα του προορισμού. Το μηχάνημα λαμβάνει και μετατρέπει την κρυπτογραφημένη μορφή των δεδομένων στην αρχική μορφή.

-Η κρυπτογράφηση και η αποκρυπτογράφηση αλληλοσυνδέονται και θεωρούνται οι ακρογωνιαίοι λίθοι της διαφύλαξης της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων.

Χρήση ασύμμετρης και συμμετρικής κρυπτογράφησης: Εφαρμογές μηνυμάτων

Οι εφαρμογές μηνυμάτων, όπως το Signal ή το Whatsapp, χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο για την προστασία της εμπιστευτικότητας και της ιδιωτικότητας των επικοινωνιών των χρηστών και για την εξακρίβωση της ταυτότητας των χρηστών.

Στην κρυπτογράφηση από άκρο σε άκρο, κρυπτογραφούνται μόνο τα δεδομένα. Η βάση για την κρυπτογράφηση από άκρο σε άκρο είναι ένα πρωτόκολλο (Signal Protocol), το οποίο έχει αναπτυχθεί από την εταιρεία Open Whisper Systems. Αυτό το πρωτόκολλο κρυπτογράφησης από άκρο σε άκρο έχει σχεδιαστεί για να εμποδίζει τα τρίτα μέρη και την εταιρεία παραγωγής της εφαρμογής να έχουν ελεύθερη πρόσβαση σε μηνύματα ή κλήσεις.

Επιπλέον, ακόμη και αν τα κλειδιά κρυπτογράφησης από τη συσκευή ενός χρήστη έχουν παραβιαστεί, δεν μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση μηνυμάτων που έχουν σταλεί στο παρελθόν.

Η κρυπτογράφηση των μηνυμάτων υλοποιείται χρησιμοποιώντας ασύμμετρη και συμμετρική κρυπτογράφηση. Η ασύμμετρη κρυπτογράφηση χρησιμοποιείται για την προετοιμασία της κρυπτογραφημένης συνομιλίας μεταξύ δύο χρηστών, ενώ η συμμετρική κρυπτογράφηση χρησιμοποιείται κατά τη διάρκεια της επικοινωνίας.

Χρήση ασύμμετρης και συμμετρικής κρυπτογράφησης: HTTPS

Ενώ η κρυπτογράφηση στις εφαρμογές μηνυμάτων χρησιμοποιείται για την ταυτοποίηση των χρηστών – ανθρώπων – το HTTPS χρησιμοποιείται για την ταυτοποίηση μηχανών. Σε έναν εξαιρετικά συνδεδεμένο κόσμο, όπου καθημερινά μεταφέρονται εκατομμύρια ευαίσθητα δεδομένα μέσω του διαδικτύου, η ανάγκη διασφάλισης των διαύλων επικοινωνίας μεταξύ πελατών / browsers και διακομιστών (servers) είναι υψίστης σημασίας.

Το HTTPS είναι ένα πρωτόκολλο του μοντέλου TCP/IP, το οποίο είναι ο συνδυασμός του πρωτοκόλλου ασφαλείας SSL/TLS (Secure Sockets Layer / Transport Layer Security) πάνω στο πρωτόκολλο HTTP (Hyper Text Transmission Protocol). Ουσιαστικά το HTTPS είναι η πράσινη κλειδαριά που βλέπουμε αριστερά από τη διεύθυνση της ιστοσελίδας που επισκεπτόμαστε.

Μια σύνδεση HTTPS μεταξύ ενός πελάτη και ενός διακομιστή χρησιμοποιεί και τους δύο τύπους κρυπτογράφησης. Η ασύμμετρη κρυπτογράφηση χρησιμοποιείται πρώτα για να δημιουργηθεί η σύνδεση, η οποία στη συνέχεια αντικαθίσταται με συμμετρική κρυπτογράφηση για όλη τη διάρκεια της σύνδεσης.

Και στις δύο περιπτώσεις, εφαρμογές μηνυμάτων και HTTPS, η ασύμμετρη κρυπτογράφηση χρησιμοποιείται μόνο σύντομα στην αρχή για την ανταλλαγή του συμμετρικού κλειδιού που χρησιμοποιείται για την υπόλοιπη σύνδεση. Αυτό γίνεται για να ξεπεραστεί το κύριο μειονέκτημα της ασύμμετρης κρυπτογράφησης, της μαθηματικής της πολυπλοκότητας, που την καθιστά αργή και ενεργοβόρα. Από την άλλη πλευρά, η χρήση ασύμμετρης κρυπτογράφησης επιλύει το πρόβλημα της διανομής κλειδιών της συμμετρικής κρυπτογράφησης.

*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Σήμερα αρθρογραφεί για τη στήλη State of Security της εταιρείας Tripwire και για το blog της Venafi. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.

Του Ευάγγελου Φαρμακίδη*

Η ανάπτυξη της τεχνολογίας και η εξάπλωση του Διαδικτύου δημιούργησαν πολλά οφέλη για την οικονομία και την κοινωνία. Σήμερα σε έναν μεγάλο βαθμό η οικονομική ανάπτυξη και η κοινωνική ευημερία βασίζονται στις νέες τεχνολογίες και σε καινοτόμες υπηρεσίες, όπως είναι τα μέσα κοινωνικής δικτύωσης και επικοινωνίας. Ταυτόχρονα όμως, ολοένα και περισσότεροι δράστες σοβαρών ή και λιγότερο σοβαρών εγκληματικών πράξεων, εγκληματικές ομάδες, αλλά και τρομοκρατικές οργανώσεις κάνουν χρήση των πλεονεκτημάτων που προσφέρουν οι νέες τεχνολογίες, προκειμένου να διευκολύνουν την τέλεση των πράξεων τους.

Όταν συμβαίνει αυτό οι διωκτικές αρχές πρέπει να έχουν τη δυνατότητα πρόσβασης στο περιεχόμενο της επικοινωνίας συγκεκριμένων ανθρώπων. Η άρση του απορρήτου της επικοινωνίας, που πραγματοποιείται μέσω των εθνικών «παραδοσιακών» παρόχων υπηρεσιών, όπως για παράδειγμα οι εταιρίες σταθερής και κινητής τηλεφωνίας, με σκοπό την εξιχνίαση εγκλημάτων, είναι μια συχνή και συνήθης πρακτική.

Τι συμβαίνει όμως με τις over-the-top (OTT) υπηρεσίες και εφαρμογές [1];

Ο διεθνής χαρακτήρας του Διαδικτύου επιτρέπει σε μια εταιρία παροχής υπηρεσιών να παρέχει τις υπηρεσίες της οπουδήποτε στον κόσμο και σε πολλά κράτη ταυτόχρονα, χωρίς όμως να έχει απαραίτητα εταιρική παρουσία, προσωπικό ή εγκαταστάσεις [π.χ. διακομιστές (servers) κ.α.] στα κράτη αυτά. Επιπλέον, τα δεδομένα που παράγονται από τη χρήση της υπηρεσίας δύναται να αποθηκεύονται σε οποιοδήποτε μέρος του κόσμου, καθιστώντας ιδιαίτερα δύσκολη έως αδύνατη την πρόσβαση από τις διωκτικές αρχές άλλων κρατών σε αυτά.

Μόνο το έτος 2016 στάλθηκαν από τις Ευρωπαϊκές διωκτικές αρχές 120.000 αιτήματα δικαστικής συνεργασίας στους αμερικανικούς κολοσσούς Apple, Facebook, Google, Microsoft και Twitter.

Επί του παρόντος δύο τρόποι υπάρχουν προκειμένου οι διωκτικές αρχές να έχουν πρόσβαση σε αυτά:

-η πρώτη οδός είναι η οδός της δικαστικής συνεργασίας μεταξύ των κρατών που βασίζεται σε διμερείς ή πολυμερείς συμφωνίες [2], όπου οι διωκτικές αρχές ενός κράτους ζητούν από τις αντίστοιχες αρχές του κράτους, όπου βρίσκονται τα δεδομένα, τη λήψη και τη γνωστοποίηση αυτών.

Η οδός αυτή έχει αποδειχθεί εξαιρετικά χρονοβόρα με αποτέλεσμα πολλές φορές, μέχρι να εξεταστεί το επίμαχο αίτημα, τα ζητούμενα δεδομένα να έχουν μεταφερθεί σε άλλο κράτος ή ακόμα και να έχουν διαγραφεί. Έτσι, στην πρώτη περίπτωση, απαιτείται ένα νέο αίτημα δικαστικής συνεργασίας στις δικαστικές αρχές του κράτους, όπου έχουν ήδη μεταφερθεί τα δεδομένα κ.ο.κ., καταλήγοντας συχνά σε μια ατέρμονη διαδικασία. Εξάλλου, δεν έχουν συμβληθεί όλα τα κράτη με τέτοιου είδους συμφωνίες. Συνεπώς, αν τα δεδομένα βρίσκονται σε ένα μη συμβαλλόμενο κράτος, είναι εξ αρχής αδύνατη η πρόσβαση σε αυτά.

–  δεύτερη οδός αφορά την απευθείας επικοινωνία των διωκτικών αρχών με τις ίδιες τις εταιρίες παροχής υπηρεσιών (π.χ. Apple, Facebook, Google, Microsoft, Twitter κ.α.) και τη γνωστοποίηση από τις τελευταίες των ζητουμένων δεδομένων.

Η οδός αυτή είναι σαφέστατα γρηγορότερη, συχνά όμως όχι αρκετά γρήγορη, λόγω του ιδιαίτερα ευμετάβλητου χαρακτήρα των ψηφιακών δεδομένων. Επιπλέον, βασικό μειονέκτημα αποτελεί το γεγονός ότι η γνωστοποίηση είναι συνήθως προαιρετική και βασίζεται στην διακριτική ευχέρεια της εκάστοτε εταιρίας και στην εσωτερική πολιτική που αυτή ακολουθεί, ενώ απαγορεύεται η γνωστοποίηση δεδομένων περιεχομένου (ηχητικά και γραπτά μηνύματα, εικόνες, βίντεο κ.α.). Ακόμα και όταν οι εταιρίες απαντούν στα αιτήματα αυτά, είναι σε θέση να παρέχουν στις αρχές μόνο δεδομένα συνδρομητή και μεταδεδομένα της ηλεκτρονικής επικοινωνίας, [3] όπως το όνομα, η διεύθυνση IP, η γεωγραφική θέση, το είδος της συσκευής, η διάρκεια σύνδεσης, η ώρα αποστολής ενός μηνύματος ή πραγματοποίησης μιας κλήσης, ενώ τα δεδομένα που αφορούν το περιεχόμενο προστατεύονται αυστηρότερα από τον Νόμο.

Η δεύτερη οδός, της απευθείας επικοινωνίας με τις εταιρίες, χωρίς τη μεσολάβηση των διωκτικών αρχών των ΗΠΑ, έχει επικρατήσει όσον αφορά τα αιτήματα των Ευρωπαϊκών αρχών προς τις ΗΠΑ.

Είναι χαρακτηριστικό ότι μόνο το έτος 2016 στάλθηκαν από τις Ευρωπαϊκές διωκτικές αρχές 120.000 αιτήματα δικαστικής συνεργασίας στους αμερικανικούς κολοσσούς Apple, Facebook, Google, Microsoft και Twitter.

Σήμερα, η εξέταση των αιτημάτων αυτών διαρκεί περίπου 10 μήνες και, όπως προαναφέρθηκε, η απάντηση είναι προαιρετική, βασίζεται δηλαδή στην διακριτική ευχέρεια της εκάστοτε εταιρίας και στην εσωτερική πολιτική που ακολουθεί, ενώ καλύπτει μόνο τα δεδομένα που δεν αφορούν το περιεχόμενο, δεν καταλαμβάνει δηλαδή το περιεχόμενο των συνομιλιών, γραπτών ή προφορικών.

Οι εταιρίες αυτές, που εδρεύουν στις ΗΠΑ, διέπονται από το νομοθετικό πλαίσιο των ΗΠΑ και συγκεκριμένα από τον νόμο περί Ηλεκτρονικών Επικοινωνιών και Προστασίας της Ιδιωτικής Ζωής του 1986 (Electronic Communications and Privacy Act 1986 — ECPA).

Με αφορμή την υπόθεση United States v. Microsoft Corp [3] επήλθε μια πολύ σημαντική νομοθετική μεταρρύθμιση στον αμερικανικό νόμο για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) [4].

Στις 23 Μαρτίου 2018 εκδόθηκε από το Κογκρέσο των Ηνωμένων Πολιτειών της Αμερικής ο νόμος Clarifying Lawful Use of Overseas Data (CLOUD) Act, για την αποσαφήνιση της νόμιμης χρήσης δεδομένων στο εξωτερικό. Ο στόχος ήταν διπλός, αφενός η αποσαφήνιση της πρόσβασης των αμερικανικών αρχών επιβολής του Νόμου σε δεδομένα που βρίσκονται στο εξωτερικό και αφετέρου η δημιουργία ενός μηχανισμού για τις αλλοδαπές κυβερνήσεις, ώστε να έχουν πρόσβαση σε δεδομένα που είναι αποθηκευμένα στις ΗΠΑ.

Πιο συγκεκριμένα, ο νέος νόμος CLOUD Act προβλέπει την υποχρέωση των εταιριών, που έχουν την έδρα τους στις ΗΠΑ, να συμμορφώνονται με εντολές αρχών των ΗΠΑ για γνωστοποίηση τόσο “δεδομένων περιεχομένου”, όσο και “δεδομένων που δεν αφορούν το περιεχόμενο”, ανεξάρτητα από τον τόπο αποθήκευσης των δεδομένων αυτών, συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης.

Παρότι όμως ο νόμος CLOUD Act παρέχει πλέον στις αμερικανικές διωκτικές αρχές τη δυνατότητα να ζητούν και να λαμβάνουν δεδομένα κάθε είδους, άρα και το περιεχόμενο των συνομιλιών, από εταιρίες που έχουν την έδρα τους στις ΗΠΑ, ακόμα και αν τα δεδομένα βρίσκονται αποθηκευμένα σε άλλα κράτη, όπως για παράδειγμα στην Ευρωπαϊκή Ένωση, το Ευρωπαϊκό νομοθετικό πλέγμα για την προστασία των δεδομένων προσωπικού χαρακτήρα και ειδικότερα ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) [4] [5]  δρα προστατευτικά για τους Ευρωπαίους πολίτες, απαγορεύοντας στις εταιρίες να γνωστοποιούν προσωπικά δεδομένα Ευρωπαίων πολιτών σε αρχές επιβολής του Νόμου άλλων κρατών, χωρίς την προηγούμενη ύπαρξη διμερούς ή πολυμερούς διεθνούς συμφωνίας, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής.

Ταυτόχρονα, ο νέος νόμος εξουσιοδοτεί την εκτελεστική εξουσία των ΗΠΑ να συνάπτει συμφωνίες με ξένες κυβερνήσεις, όπως για παράδειγμα τις κυβερνήσεις των Κρατών-Μελών της Ευρωπαϊκής Ένωσης, σύμφωνα με τις οποίες οι ξένες κυβερνήσεις μπορούν να αποκτήσουν ταχεία πρόσβαση στα δεδομένα, που διατηρούνται εντός της επικράτειας των ΗΠΑ.

Μια τέτοια συμφωνία διαπραγματεύονται επί του παρόντος η Ευρωπαϊκή Ένωση και οι ΗΠΑ. Την 6η Ιουνίου 2019 το Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε δύο αποφάσεις, σύμφωνα με τις οποίες εξουσιοδοτεί την Ευρωπαϊκή Επιτροπή να διαπραγματευθεί εκ μέρους της ΕΕ συμφωνία με τις ΗΠΑ σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο της δικαστικής συνεργασίας σε ποινικές υποθέσεις, όπως επίσης να διαπραγματευθεί και το Δεύτερο Πρόσθετο Πρωτόκολλο της Σύμβασης της Βουδαπέστης [5]. Οι συμφωνίες αυτές θα καθορίσουν τις προϋποθέσεις για την πρόσβαση των διωκτικών αρχών τρίτων χωρών στα δεδομένα των Ευρωπαίων Πολιτών σε ποινικές διαδικασίες στο μέλλον.

Σε Ευρωπαϊκό επίπεδο, η Ευρωπαϊκή Επιτροπή ενέκρινε στις 17 Απριλίου 2018 δύο νομοθετικές προτάσεις: την Πρόταση Κανονισμού σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις [6] και την Πρόταση Οδηγίας σχετικά με τη θέσπιση εναρμονισμένων κανόνων για τον ορισμό νόμιμων εκπροσώπων με σκοπό τη συγκέντρωση αποδεικτικών στοιχείων στο πλαίσιο ποινικών διαδικασιών, η οποία συμπληρώνει τον παραπάνω Κανονισμό. Σκοπός των νομοθετικών αυτών προτάσεων είναι να εξασφαλιστεί η ταχύτατη διασυνοριακή πρόσβαση των Ευρωπαϊκών διωκτικών αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία σε ποινικές υποθέσεις, ακόμα και όταν αυτά βρίσκονται αποθηκευμένα εκτός της Ευρωπαϊκής Ένωσης.

Το πλαίσιο αυτό θα εξασφαλίσει την έγκαιρη πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία συντομεύοντας σε 10 ημέρες το χρονικό διάστημα για την παροχή των ζητούμενων δεδομένων, διαδικασία που επί του παρόντος διαρκεί κατά μέσο όρο 10 μήνες. Σήμερα, τόσο η Πρόταση Κανονισμού όσο και η Πρόταση Οδηγίας εκκρεμούν στο στάδιο της πρώτης ανάγνωσης, σύμφωνα με τη συνήθη νομοθετική διαδικασία.

Η πρόσβαση των αρχών αναμένεται να γίνει υποχρεωτική για τις εταιρίες εφόσον αυτές παρέχουν τις υπηρεσίες τους εντός της ΕΕ.

Συμπερασματικά, επί του παρόντος, οι αμερικανικές διωκτικές αρχές δεν μπορούν να αποκτήσουν νόμιμα πρόσβαση στο περιεχόμενο των συνομιλιών μας σε υπηρεσίες, όπως το Facebook και το WhatsApp, παρά μόνο μέσω ειδικής συμφωνίας αμοιβαίας δικαστικής συνδρομής, όπως αυτή που διαπραγματεύονται τώρα ΕΕ και ΗΠΑ.

Από την άλλη, οι ευρωπαϊκές αρχές, μετά τη θέσπιση του νόμου CLOUD Act μπορούν να αποκτήσουν πρόσβαση στο περιεχόμενο των συνομιλιών απευθείας από εταιρία που εδρεύει στις ΗΠΑ προαιρετικά, μόνο όταν η εταιρία κρίνει ότι συντρέχει κίνδυνος θανάτου ή σοβαρής βλάβης της υγείας του Υποκειμένου των δεδομένων. 

Η πρόσβαση των αρχών, ακόμα και στα δεδομένα περιεχομένου, αναμένεται να γίνει υποχρεωτική για τις εταιρίες, εφόσον αυτές παρέχουν τις υπηρεσίες τους εντός της ΕΕ, μετά την ψήφιση και την έναρξη ισχύος του Κανονισμού για τα ηλεκτρονικά αποδεικτικά στοιχεία σε ποινικές υποθέσεις και τέλος, διαμέσου συμφωνίας αμοιβαίας δικαστικής συνδρομής, όπως αυτή που διαπραγματεύονται τώρα ΕΕ και ΗΠΑ ή του υπό διαπραγμάτευση Δευτέρου Πρόσθετου Πρωτοκόλλου της Σύμβασης της Βουδαπέστης για το Κυβερνοέγκλημα.

*Ο Ευάγγελος Φαρμακίδης είναι τακτικό μέλος της Homo Digitalis, ασκούμενος δικηγόρος, τελειόφοιτος του ΔΠΜΣ «Δίκαιο και Πληροφορική» του Τμήματος Εφαρμοσμένης Πληροφορικής, ΠαΜακ και της Νομικής Σχολής, ΔΠΘ, μεταπτυχιακός φοιτητής Ποινικού Δικαίου και Εγκληματολογικών Επιστημών στη Νομική Σχολή, ΔΠΘ, κάτοχος Διπλώματος στην Κοινωνική Οικονομία και Κοινωνική Επιχειρηματικότητα και Διαπιστευμένος Διαμεσολαβητής του Υπουργείου Δικαιοσύνης.

---

Παραπομπές:

[1] Ως over-the-top (OTT) χαρακτηρίζεται κάθε υπηρεσία ή εφαρμογή που παρέχεται μέσω Διαδικτύου, παρακάμπτοντας την παραδοσιακή διανομή (π.χ. μέσω καλωδίου ή δορυφόρου). Τέτοιου είδους υπηρεσίες σχετίζονται συνήθως με το ψηφιακό περιεχόμενο και τις επικοινωνίες. Χαρακτηριστικά παραδείγματα αποτελούν η Netflix, η Amazon Prime, η Hulu κ.α., οι οποίες αντικαθιστούν την “παραδοσιακή” καλωδιακή ή δορυφορική τηλεόραση και η Skype, η WhatsApp, η Viber κ.α., οι οποίες αντικαθιστούν την “παραδοσιακή” επικοινωνία μέσω καλωδίου σταθερής τηλέφωνίας ή κεραιών κινητής τηλεφωνίας.

[2] Για παράδειγμα, η Συμφωνία σχετικά με την αμοιβαία δικαστική συνδρομή μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής, η οποία υπογράφηκε στις 25 Ιουνίου 2003 και τέθηκε σε ισχύ την 1η Φεβρουαρίου 2010.

[3] Τον Δεκέμβριο του 2013, αμερικανικές ομοσπονδιακές αρχές επιβολής του Νόμου ζήτησαν από αμερικανικό επαρχιακό δικαστήριο της Νέας Υόρκης την έκδοση ενός εντάλματος, σύμφωνα με την παράγραφο 2703 του νόμου για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA), με το οποίο θα υποχρεωνόταν η Microsoft να παρέχει όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου, καθώς και άλλες πληροφορίες που αφορούσαν έναν συγκεκριμένο λογαριασμό πελάτη που τηρούσε η ίδια και υπήρχαν βάσιμες υποψίες ότι χρησιμοποιήθηκε για διακίνηση ναρκωτικών ουσιών. Το ένταλμα εκδόθηκε, αλλά μετά την επίδοσή του διαπιστώθηκε ότι τα ζητούμενα δεδομένα ήταν αποθηκευμένα σε διακομιστή της Microsoft στην Ιρλανδία. Η Microsoft αμφισβήτησε το ένταλμα με την αιτιολογία ότι ένα ένταλμα που εκδίδεται σύμφωνα με τον νόμο για Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) δεν μπορεί να υποχρεώσει Αμερικανικές εταιρίες να υποβάλουν δεδομένα που βρίσκονται αποθηκευμένα σε διακομιστές εκτός της επικράτειας των ΗΠΑ. Η εταιρία προσέφυγε στο Περιφερειακό Δικαστήριο της Νέας Υόρκης, όπου ηττήθηκε σε πρώτο βαθμό, με την απόφαση να αποφαίνεται ότι η φύση του εντάλματος που εκδίδεται σύμφωνα με τον νόμο για Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) δεν υπόκειται σε τοπικούς περιορισμούς. Η Microsoft άσκησε έφεση κατά της παραπάνω απόφασης και δικαιώθηκε από το αρμόδιο Εφετείο της Νέας Υόρκης, το οποίο επιλήφθηκε της υπόθεσης και ακύρωσε το επίμαχο ένταλμα. Αξίζει να σημειωθεί ότι σε παρόμοιες περιπτώσεις το ίδιο Εφετείο είχε διατάξει άλλες εταιρίες (π.χ. Google) να συμμορφωθούν με τα εντάλματα, εφόσον μπορούσαν να έχουν πρόσβαση στα ζητούμενα δεδομένα από την επικράτεια των ΗΠΑ, ανεξάρτητα από την τοποθεσία αποθήκευσης των δεδομένων. Το Υπουργείο Δικαιοσύνης των ΗΠΑ προσέφυγε κατά της απόφασης του Εφετείου της Νέας Υόρκης στο Ανώτατο Δικαστήριο, το οποίο συμφώνησε να εξετάσει την υπόθεση τον Οκτώβριο του 2017. Πριν από την έκδοση της σχετικής απόφασης του Ανωτάτου Δικαστηρίου επενέβη ο Νομοθέτης με την θέσπιση του νόμου Clarifying Lawful Overseas Use of Data Act (CLOUD Act), επιλύοντας οριστικά δια της νομοθετικής οδού το θέμα που είχε ανακύψει.

[4] Ο νόμος για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) αποτελεί μέρος του νόμου περί Ηλεκτρονικών Επικοινωνιών και Προστασίας της Ιδιωτικής Ζωής του 1986 (Electronic Communications and Privacy Act 1986 — ECPA).

[5] Σύμβαση της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο (CETS αριθ. 185), η οποία υπογράφηκε στη Βουδαπέστη στις 23.11.2001, ενσωματώθηκε στην ελληνική έννομη τάξη μαζί με το Πρώτο Πρόσθετο Πρωτόκολλό της με τεράστια καθυστέρηση με τον ν. 4411/2016 (ΦΕΚ Α’ 142/3-8-2016) και αποτελεί τη βασικότερη πηγή δικαίου για το ηλεκτρονικό έγκλημα διεθνώς. Σήμερα τα συμβαλλόμενα μέρη της Σύμβασης ανέρχονται σε 62, συμπεριλαμβανομένων 26 Kρατών-Mελών της ΕΕ.

[6] Για περισσότερες πληροφορίες σχετικά με την Πρόταση Κανονισμού βλέπε το πρόσφατο, ιδιαίτερα κατατοπιστικό, εύληπτο και περιεκτικό άρθρο του συναδέλφου και μέλους της Homo Digitalis Κωνσταντίνου Ζουμπουλάκη με τίτλο “Η πρόσβαση των αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία: Τι συμβαίνει με τα προσωπικά μας δεδομένα;” που δημοσιεύθηκε στην ιστοσελίδα της Homo Digitalis στον παρακάτω σύνδεσμο  http://homodigitalis.gr/posts/3928

Ο τίτλος του εντυπωσιάζει: “ Senior Director Government Affairs EMEA and APJ, Global CIP and Privacy Advisor” για λογαριασμό της Symantec, ηγέτιδας εταιρείας στο χώρο της κυβερνοασφάλειας.

Με άλλα λόγια, ο Ηλίας Χάντζος είναι ο άνθρωπος που αναλαμβάνει τις διακυβερνητικές σχέσεις της Symantec σχεδόν με όλα τα κράτη της υφηλίου (πλην Αμερικής) για ζητήματα κυβερνοασφάλειας και προστασίας της ιδιωτικότητας. Η Symantec είναι μία από τις μεγαλύτερες εταιρείες λογισμικού κυβερνοασφάλειας διεθνώς, με εκατοντάδες εκατομμύρια χρήστες.

Ποιός δε γνωρίζει άλλωστε το λογισμικό “Norton Internet Security”, το No 1 προϊόν της Symantec για την προστασία καταναλωτών;

Η γνωριμία μας έγινε στο πλαίσιο του Data Privacy & Protection Conference, όπου με μία ζωηρή και εναργή παρουσίαση ανέπτυξε το θέμα της γνωστοποίησης των περιστατικών παραβίασης ασφαλείας και κέρδισε τις εντυπώσεις των συμμετεχόντων. Του ζητήσαμε να μας μιλήσει για τις εξελίξεις στο χώρο και για το ρόλο των MKO. Παρά το βεβαρημένο πρόγραμμά του αποδέχτηκε με ενθουσιασμό την πρόσκλησή μας. Τον ευχαριστούμε θερμά για την πολύ ενδιαφέρουσα συζήτηση.

Στην Ελλάδα έχουν μεγαλώσει γενιές ολόκληρες στη λογική του «δικαιωματισμού» και του πολιτικώς ορθού. Η κρίση που βιώνουμε είναι και οικονομική και κρίση αξιών.

–  HD: H ψήφιση του GDPR και της NIS καθιστά την Ευρώπη πρωτοπόρο στη δημιουργία ενός ολοκληρωμένου κανονιστικού περιβάλλοντος για την κυβερνοασφάλεια και την προστασία της ιδιωτικότητας. Ποιά θα είναι τα επόμενα βήματα;

HX: Αρχικά, βασικό βήμα αποτελεί η πλήρης εφαρμογή του GDPR. Κι αυτό θα γίνει με την υιοθέτηση επιμέρους κανόνων, όπως οι κατευθυντήριες οδηγίες του Ευρωπαϊκού Συμβουλίου για την προστασία των δεδομένων (EDPB), με την επιβολή προστίμων που θα λειτουργήσουν αποτρεπτικά στη μη συμμόρφωση των οργανισμών, με την επίλυση των ζητημάτων σχετικά με τη διαβίβαση των δεδομένων, ειδικά προς την Αμερική. Το τελευταίο μέχρι σήμερα αποτελεί αγκάθι για τα συμφέροντα των  μεγάλων ιδιωτικών εταιρειών. Έπειτα, θα ακολουθήσουν αποφάσεις επάρκειας με άλλες χώρες, όπως η Κορέα, που θα δημιουργήσουν ένα μεγάλο χώρο ασφαλών ροών δεδομένων και, φυσικά, οι τελικές αποφάσεις γύρω από τον Κανονισμό του e-Privacy.

–  HD: Μου δίνετε πολύ καλή αφορμή να σας ρωτήσω για τις προσπάθειες και τα τεράστια κεφάλαια που ακούγεται ότι δαπανούν  σε επίπεδο lobbying τεχνολογικοί κολοσσοί, όπως η Apple και η Google, ώστε να εξασφαλίσουν μια πιο ευνοϊκή γι’ αυτούς διαμόρφωση του e-Privacy.

HX: Φυσικό δεν είναι οι εταιρείες να ενδιαφέρονται για νομοθετήματα που εν τέλει αφορούν και ρυθμίζουν άμεσα και τις ίδιες; Τα συμφέροντα της βιομηχανίας δεν είναι ενιαία, αλλά διαφορετικά και αντιτιθέμενα.

Αν, για παράδειγμα, ένα κανονιστικό πλαίσιο είναι ευνοϊκό για την εταιρεία Α, το ίδιο πλαίσιο θα είναι λιγότερο ευνοϊκό για την εταιρεία Β που δραστηριοποιείται σε παραπλήσιο αλλά διαφορετικό τομέα. Το ίδιο συμβαίνει και με τον e-Privacy.

«Πλακώνονται» οι εταιρείες μεταξύ τους επειδή τα συμφέροντά τους δεν είναι ενιαία. Στην Ελλάδα δεν υπάρχει συνείδηση ούτε πλήρη εικόνα του επιχειρηματικού συμφέροντος λόγω δαιμονοποίησης του κέρδους και της επιχειρηματικότητας που προκύπτει από ιδεολογικές αγκυλώσεις του παρελθόντος. Δεν πρέπει να αντιμετωπίζουμε την βιομηχανία με την ενιαία μορφή της καρικατούρας του κακού καπιταλιστή, αλλά ρεαλιστικά μέσα από το πλέγμα των περίπλοκων σχέσεων και συμφερόντων που υπάρχουν. Μόνο έτσι θα νομοθετήσουν σωστά τα όργανα. Ας δώσουμε ένα παράδειγμα που όλοι στην Ελλάδα θα καταλάβουν εύκολα. Η νομοθεσία για την ύπαρξη διπλών δεξαμενών σε ποντοπόρα τάνκερ υποτίθεται ότι προστατεύει το περιβάλλον σε περίπτωση διαρροής πετρελαίου. Μια τέτοια νομοθεσία υποστηρίζεται από τις περιβαντολλογικές ΜΚΟ και τα ναυπηγία (κατ’ εξοχήν ρυπογόνο βιομηχανία…. Βλέπετε ήδη το παράδοξο;) γιατί σημαίνει καινούργιες παραγγελίες. Θα την στηρίξουν τα παραθαλάσσια κράτη της ΕΕ δεν συμφέρει όμως την Ελλάδα (που έχει την μεγαλύτερη ακτογραμμή και μεγάλο τουρισμό) που έχει κατ’ εξοχήν ποντοπόρο ναυτιλία καθώς ανεβάζει το κόστος της ενώ δεν έχει έσοδα από τα ναυπηγία της (γιατί πλέον σχεδόν δεν υφίστανται).

Βλέπετε πόσες αντιθέσεις σε ένα παράδειγμα και ακόμη δεν μιλήσαμε για τις τοπικές κοινωνίες που έχουν υποστεί θαλάσσια μόλυνση και τη βιομηχανία τουρισμού.

–  HD: Αναφερθήκατε προηγουμένως στην επιβολή προστίμων. Πρόσφατα είδαμε να επιβάλλονται πολύ υψηλά πρόστιμα σε εταιρείες όπως η Google, η Marriot, η British Airways, γεγονός που καταδεικνύει ότι ουδείς άτρωτος στο χώρο της κυβερνοασφάλειας και της προστασίας της ιδιωτικότητας. Εάν, λοιπόν, η απόλυτη προστασία και ασφαλής επεξεργασία των προσωπικών δεδομένων είναι αδύνατη ακόμα και οργανισμούς τέτοιου επιπέδου, τότε ποιο είναι το διακύβευμα; Γιατί γίνονται όλα αυτά;

HX: Τα πρόστιμα στις εταιρείες που αναφέρατε επιβλήθηκαν για διαφορετικούς λόγους. Στην περίπτωση της Google, αφορούσε τη νομιμότητα της επεξεργασίας των δεδομένων και συγκεκριμένα της συλλογής τους, ενώ στις περιπτώσεις της Marriot και της British Airways το πρόστιμο επεβλήθη λόγω ελλιπών μέτρων προστασίας των δεδομένων. Δεν υπάρχει απόλυτη ασφάλεια σε τίποτα στην ζωή, προφανώς ούτε και στην τεχνολογία. Πράγματι όμως οι αρχές έκριναν ότι οι εταιρείες αυτές θα έπρεπε να έχουν προστατέψει τα δεδομένα πολύ καλύτερα. Ωστόσο, φάνηκε ότι αυτό δεν έγινε και για αυτό επιβλήθηκαν τα πρόστιμα, που δείχνουν ότι η προστασία της ιδιωτικότητας είναι πολύ ψηλά στην ατζέντα.

–  HD: Και στην Ελλάδα γιατί δεν είναι το ίδιο ψηλά;

HX: Πολλοί παράγοντες ευθύνονται. Οι ελληνικές επιχειρήσεις έως τώρα επένδυαν στα απολύτως απαραίτητα. Σε καθεστώς οικονομικής κρίσης κάνεις ό,τι μπορείς για να διατηρήσεις την εύρυθμη λειτουργία. Τα πρόσφατα πρόστιμα καλούν τις ελληνικές επιχειρήσεις που θέλουν να πουλούν στο εξωτερικό να απαντήσουν σε ένα ερώτημα που θα τους κάνουν όλοι οι αλλοδαποί πελάτες τους: «Μπορείς να προστατέψεις τα δεδομένα μου αποτελεσματικά;» Καταλαβαίνω ότι η μικρομεσαία επιχείρηση βλέπει την ασφάλεια μόνο ως κόστος. Σαν την ασφάλιση του αυτοκινήτου που μπορεί να μη χρησιμοποιήσεις ποτέ.

Ωστόσο, η ασφάλεια μπορεί να γίνει ανταγωνιστικό πλεονέκτημα. Ακόμα και αν έχουμε μείνει πίσω, η μικρομεσαία επιχείρηση είναι ανάγκη να τρέξει και να βελτιώσει την ποιότητα των προϊόντων και υπηρεσιών της. Η ποιότητα θα σε κάνει ανταγωνιστικό. Καταλαβαίνω ότι αυτή η ποιότητα θα σου αυξήσει το κόστος, αλλά στην Ευρώπη είσαι. Πρέπει να παίξεις!

–  HD: Πώς βλέπετε το ρόλο των ΜΚΟ σε αυτό τον τομέα; Tί θα λέγατε σε μια οργάνωση, όπως η Homo Digitalis, ώστε η δράση της να γίνει πιο αποτελεσματική;

HX: Nα μην είστε μόνο δικαιωματιστές. Στην Ελλάδα έχουν μεγαλώσει γενιές ολόκληρες στη λογική του «δικαιωματισμού» και του πολιτικώς ορθού. Η κρίση που βιώνουμε είναι και οικονομική και κρίση αξιών. Αυτό φυσικά δεν σημαίνει ότι δεν πρέπει να αγωνιζόμαστε για τα δικαιώματα. Θα πρέπει, όμως, με κάθε νέο αίτημα που κάνουμε να γνωρίζουμε τί κερδίζουμε και τι χάνουμε. Ποιές θα είναι οι συνέπειες των επιλογών μας. Όχι απλά να ζητάμε τυφλά γιατί μπορούμε.

Είναι το λεγόμενο «ευκαιριακό κόστος». Δηλαδή, να ξέρεις όσο είναι δυνατόν ποιές είναι οι άλλες επιλογές, τις οποίες απέρριψες, προκειμένου να έχεις αυτή που τελικά επέλεξες. Δεν γίνεται, για παράδειγμα με βάσει το υπάρχον επιχειρηματικό μοντέλο, να θέλεις δωρεάν ίντερνετ χωρίς να αποδέχεσαι την ύπαρξη διαφημίσεων (σημειωτέων ούτε εμένα μου αρέσουν).

Δεν θέλεις διαφημίσεις; Κανένα πρόβλημα, είσαι διατεθειμένος να πληρώσεις για την υπηρεσία που λαμβάνεις ή για να εξασφαλίσεις το μερίδιο ιδιωτικότητας που θέλεις; Δεν είναι αρκετό να ζητάς. Έχεις και υποχρεώσεις. Δυστυχώς, είμαστε θύματα της τάσης «θέλω το Χ πάση θυσία», χωρίς όμως να έχουμε σκεφτεί τι χάνουμε ή τι αποδεχόμαστε. Είναι στοιχείο ωριμότητας και αντίστασης στο λαϊκισμό το να καταφέρουμε να διακρίνουμε τον εύκολο δικαιωματισμό από αυτό που πραγματικά μας συμφέρει. Αυτή είναι η μεγαλύτερη πρόκληση κατά την γνώμη μου για όλες τις ΜΚΟ.

Η απόφαση 26/2019 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της εταιρείας PwC BS Α.Ε.

Γράφει ο Νικόλας Γανιάρης*

Α) Η κρίση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με την υπ’ αριθμ. 26/2019 απόφαση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε για πρώτη φορά πρόστιμο εφαρμόζοντας το Γενικό Κανονισμό για την Προστασία των Δεδομένων (ΓΚΠΔ).

Η απόφαση δημοσιεύτηκε στις 30 Ιουλίου 2019.

O υπεύθυνος επεξεργασίας προσωπικών δεδομένων, δηλαδή η εταιρεία PwC BS, ζήτησε εγγράφως από τους εργαζομένους τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων.

Συγκεκριμένα, η εταιρεία ζήτησε τη συγκατάθεση των εργαζομένων για την επεξεργασία: α) όσων δεδομένων συνδέονταν άμεσα με τη σχέση απασχόλησης και την οργάνωση της εταιρείας και β) των δεδομένων που αποθηκεύονταν στα μέσα ηλεκτρονικής επικοινωνίας που παρείχε η εταιρεία στους εργαζομένους της.

Η εταιρεία επεδίωκε με την επεξεργασία αυτών των δεδομένων την εκπλήρωση των εξής σκοπών επεξεργασίας: α) της εκτέλεσης της σύμβασης εργασίας που είχε συνάψει με τους εργαζομένους, β) της εκπλήρωσης των υποχρεώσεων της εταιρείας που απορρέουν από την ασφαλιστική, φορολογική, εργασιακή, τελωνειακή, ευρωπαϊκή και λοιπή νομοθεσία και γ) της διασφάλισης των εννόμων συμφερόντων της εταιρείας.

Το βασικό σφάλμα της εταιρείας ήταν ότι θεμελίωσε την επεξεργασία των δεδομένων των εργαζομένων στη νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ).

Η επιλογή αυτή ήταν ακατάλληλη και παραπλανητική.

Ακατάλληλη, διότι σπανίως νοείται ελεύθερη συγκατάθεση στο πλαίσιο της σχέσης απασχόλησης, εφόσον αυτή χαρακτηρίζεται από ανισορροπία δυνάμεων ανάμεσα στον εργοδότη και τον εργαζόμενο.

Ο εργαζόμενος δηλαδή δεν μπορεί να παρέχει ελεύθερα τη συγκατάθεσή του στον εργοδότη του, καθώς γνωρίζει ότι αν δεν το κάνει αυτό ενδέχεται να έχει επιπτώσεις στην εργασία του.

Παραπλανητική, γιατί δημιούργησε στους εργαζομένους την εσφαλμένη εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των προσωπικών δεδομένων ανακαλώντας τη συγκατάθεσή τους.

Περαιτέρω, η ΑΠΔΠΧ απέρριψε τον ισχυρισμό της εταιρείας ότι η συγκατάθεση των εργαζομένων αποτελούσε συμπληρωματική νομική βάση επεξεργασίας μαζί με τη νόμιμη βάση της εκτέλεσης σύμβασης εργασίας (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ).

Η ΑΠΔΠΧ απεφάνθη ότι η αμφιταλάντευση του υπευθύνου επεξεργασίας ανάμεσα στις δύο νόμιμες βάσεις, δηλαδή ανάμεσα στη συγκατάθεση των εργαζομένων και στην εκτέλεση της σύμβασης εργασίας, καταδεικνύει την αμφιβολία του για τη νομιμότητα της επεξεργασίας.

Ο υπεύθυνος επεξεργασίας θα έπρεπε να άρει την αμφιβολία αυτή πριν από την έναρξη της επεξεργασίας.

Το δεύτερο σφάλμα της εταιρείας ήταν το γεγονός ότι ζήτησε από τους εργαζομένους να αποδεχτούν ότι τα υπό επεξεργασία δεδομένα συνδέονται με τις ανάγκες της σχέσης απασχόλησης και της οργάνωσης της εταιρείας.

Στην πραγματικότητα η ίδια η εταιρεία έπρεπε να διακρίνει τα συναφή με τους σκοπούς επεξεργασίας δεδομένα των εργαζομένων.

Υπ’ αυτό το σκεπτικό, η ΑΠΔΠΧ προέβη σε επιβολή διορθωτικών μέτρων και προστίμου 150.000 ευρώ στην εταιρεία PwC BS για την παραβίαση των κανόνων του ΓΚΠΔ.

Β) Συμπεράσματα

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι σημαντική για τρεις λόγους.

Πρώτον, με την απόφαση διευκρινίζεται η έννοια της συγκατάθεσης. Η ΑΠΔΠΧ απεφάνθη ότι σπανίως μπορεί η συγκατάθεση που δίνεται στο πλαίσιο της εργασιακής σχέσης να είναι ελεύθερη.

Συνεπώς, οι επεξεργασίες των δεδομένων των εργαζομένων θα πρέπει να θεμελιώνονται στις ορθές νόμιμες βάσεις (λ.χ. στην εκτέλεση της σύμβασης εργασίας), ώστε να μη δημιουργείται στους εργαζομένους η εντύπωση ότι μπορούν να διακόψουν την επεξεργασία των δεδομένων τους ανακαλώντας τη συγκατάθεσή τους.

Επίσης, στην απόφαση παρατίθεται ένα πρακτικό εργαλείο για την επιλογή της ορθής νόμιμης βάσης.

Πρόκειται για τη δοκιμασία της ανάκλησης, σύμφωνα με την οποία εάν μόλις ανακληθεί η συγκατάθεση από το υποκείμενο των δεδομένων η επεξεργασία μπορεί να συνεχιστεί με άλλη νόμιμη βάση, τότε δημιουργούνται αμφιβολίες για τη θεμελίωση της επεξεργασίας στη νόμιμη βάση της συγκατάθεσης επί της αρχής.

Επιπλέον, στην απόφαση διευκρινίζεται ότι η συγκατάθεση έχει την ίδια βαρύτητα με τις υπόλοιπες νόμιμες βάσεις του ΓΚΠΔ.

Δεύτερον, με την απόφαση τονίζεται ότι δεν υπάρχουν νόμιμες βάσεις που να λειτουργούν ως «πανάκεια» για κάθε επεξεργασία προσωπικών δεδομένων. 

Η κρίση της ΑΠΔΠΧ καθιστά σαφές ότι ούτε η νόμιμη βάση της συγκατάθεσης (άρθρο 6 παρ. 1 στοιχ. α΄ ΓΚΠΔ) ούτε η νόμιμη βάση της εκτέλεσης σύμβασης (άρθρο 6 παρ. 1 στοιχ. β΄ ΓΚΠΔ) «ταιριάζουν» σε κάθε επεξεργασία.

Ο υπεύθυνος επεξεργασίας δεν «ξεμπερδεύει» με μια αναφορά ότι η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου ή στην εκτέλεση της σύμβασης.

Θα πρέπει να καταβάλλεται προσπάθεια από τον υπεύθυνο επεξεργασίας για την επιλογή της ορθής κάθε φορά νόμιμης βάσης επεξεργασίας.

Η άρση οποιασδήποτε σχετικής αμφιβολίας βαραίνει αποκλειστικά τον ίδιο τον υπεύθυνο επεξεργασίας.

Τρίτον, για πρώτη φορά τίθενται σε εφαρμογή τα κριτήρια επιμέτρησης του διοικητικού προστίμου που προβλέπονται στο άρθρο 83 ΓΚΠΔ.

Η ΑΠΔΠΧ κατά την επιβολή του προστίμου έλαβε υπόψη τα εξής στοιχεία:

α) το ότι η εταιρεία παραβίασε βασικές αρχές του ΓΚΠΔ, δηλαδή τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας προσωπικών δεδομένων,

β) ότι η εταιρεία παραβίασε και την αρχή της λογοδοσίας, αφού δεν παρουσίασε εσωτερική τεκμηρίωση για την επιλογή της νόμιμης βάσης της συγκατάθεσης και μετακύλησε το βάρος της συμμόρφωσης με τον ΓΚΠΔ στους εργαζομένους,

γ) ότι η επιλογή των ορθών νομίμων βάσεων επεξεργασίας δεν παρουσίαζε δυσχέρεια στη συγκεκριμένη περίπτωση,

δ) ότι δεν επήλθε υλική ζημία στους εργαζομένους ή οικονομικό όφελος στην εταιρεία από την παράνομη επεξεργασία που έλαβε χώρα,

ε) ότι η παράνομη επεξεργασία οφειλόταν σε αμέλεια του υπευθύνου επεξεργασίας και

στ) την πρόθεση του υπευθύνου επεξεργασίας να συνεργαστεί με την ΑΠΔΠΧ στο χρονικό διάστημα μετά την ακρόαση.

Γ) Αποτίμηση

Η απόφαση 26/2019 της ΑΠΔΠΧ αναμένεται να επηρεάσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως στο πλαίσιο των εργασιακών σχέσεων.

Είναι η πρώτη απόφαση της ΑΠΔΠΧ μετά την έναρξη ισχύος του ΓΚΠΔ που καταπιάνεται με μία από τις πιο σημαντικές έννοιες του δικαίου των προσωπικών δεδομένων: Την έννοια της συγκατάθεσης.

Επιπλέον, η απόφαση μπορεί να αποτελέσει σημείο αναφοράς για τους υπευθύνους επεξεργασίας, γιατί διευκολύνει την επιλογή της σωστής κάθε φορά νόμιμης βάσης.

Στα θετικά επίσης συγκαταλέγεται το γεγονός ότι η ΑΠΔΠΧ ανέλυσε τη δοκιμασία της συγκατάθεσης, η οποία μπορεί να αποτελέσει πρακτικό οδηγό για τους υπευθύνους επεξεργασίας.

Σημειωτέον, ότι η απόφαση της ΑΠΔΠΧ δεν αντιμετωπίστηκε με εχθρότητα από την PwC BS.

Σε ανακοίνωσή της η εταιρεία ανάφερε ότι θα μελετήσει την απόφαση και θα πορευθεί σε κλίμα συνεργασίας με την ΑΠΔΠΧ.

Η απόφαση 26/2019 της ΑΠΔΠΧ είναι πιθανό να οδηγήσει τους υπευθύνους επεξεργασίας σε αναθεώρηση των νομίμων βάσεων επεξεργασίας των δεδομένων που αφορούν τους εργαζομένους και να προκαλέσει αναστάτωση στα νομικά τους τμήματα.

Ωστόσο, ανοίγει τον δρόμο για μεγαλύτερη διαφάνεια και σαφήνεια κατά την επεξεργασία των δεδομένων των εργαζομένων.

* Ο Νικόλας Γανιάρης είναι δικηγόρος και υποψήφιος διδάκτωρ του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών. 

Του Κωνσταντίνου Κακαβούλη

Έχω μια φίλη, κολλητή, που πάντα αργεί. Όχι όμως επειδή ετοιμάζεται με τις ώρες μπροστά στον καθρέφτη. Απλώς ξεχνιέται. Συνήθως μπαίνει για μπάνιο την ώρα που είμαι κάτω από το σπίτι της και την περιμένω να κατέβει.

Σπάνια φτάνει στην ώρα της στα ραντεβού της -ακόμη και αν είναι επαγγελματικά. Το πρόβλημα είναι ότι η φίλη μου αγχώνεται πολύ όταν καθυστερεί. Προσπαθώντας να αποφύγει τα αρνητικά σχόλια, επειδή καθυστέρησε για ακόμα μία φορά, εμφανίζεται συχνά πολύ λιγότερο περιποιημένη από όσο θα ήθελε.

Έχει έρθει με φρεσκολουσμένα και αχτένιστα μαλλιά σε γάμο για να προλάβει το μυστήριο, έστω και στο τέλος του.

Δυστυχώς, η Ελλάδα αντιμετωπίζει συχνά το ίδιο πρόβλημα με τη φίλη μου. Αργεί. Και όταν αργεί, αγχώνεται. Και όταν αγχώνεται, η εμφάνισή της δεν είναι πάντα η καλύτερη.

Στις 27 Απριλίου 2016 ψηφίστηκαν από την Ευρωπαϊκή Ένωση δύο σημαντικά νομοθετήματα για την προστασία προσωπικών δεδομένων: ο Κανονισμός 2016/679 (ευρέως γνωστός ως GDPR) και η Οδηγία 2016/680.

Η Ευρωπαϊκή Ένωση, αναγνωρίζοντας ότι η ενσωμάτωση και εφαρμογή των δύο νομοθετημάτων, απαιτεί χρόνο και προσπάθεια, έδωσε δύο χρόνια προθεσμία στα Κράτη Μέλη για να τα ενσωματώσουν στις εσωτερικές τους έννομες τάξεις και να ξεκινήσει η εφαρμογή τους.

Τα δύο νομοθετήματα ενισχύουν σημαντικά την προστασία των δικαιωμάτων των πολιτών της Ένωσης, ενώ αυξάνουν τις υποχρεώσεις των ιδιωτικών και δημόσιων φορέων.

Η χώρα μας, παρά το μεγάλο χρονικό περιθώριο, δεν κατάφερε να ανταποκριθεί στις υποχρεώσεις της. Σχηματίστηκε μία νομοπαρασκευαστική επιτροπή, η οποία παρέδωσε ένα προσχέδιο νόμου.

Το προσχέδιο αυτό τέθηκε προς δημόσια διαβούλευση το Μάρτιο του 2018, δηλαδή δύο μήνες πριν τη λήξη της προθεσμίας. Το σχέδιο νόμου δεν έφτασε ποτέ στη Βουλή προς ψήφιση. Ακολούθησε η παραίτηση της προέδρου και ενός μέλους της νομοπαρασκευαστικής επιτροπής, καθώς και η είσοδος νέων μελών σε αυτή.

Τελικά, η δεύτερη νομοπαρασκευαστική επιτροπή παρέδωσε νέο σχέδιο νόμου στον Υπουργό Δικαιοσύνης στο τέλος Φεβρουαρίου 2019 και ενώ η προθεσμία από την Ευρωπαϊκή Ένωση είχε ήδη παρέλθει. Το δεύτερο αυτό σχέδιο νόμου δεν εμφανίστηκε ούτε προς δημόσια διαβούλευση ούτε προς ψήφιση στη Βουλή.

Στις 25 Ιουλίου 2019, η Ευρωπαϊκή Επιτροπή απόφάσισε να παραπέμψει την Ελλάδα και την Ισπανία στο Δικαστήριο της Ευρωπαϊκής Ένωσης λόγω της 15μηνης καθυστέρησης των δύο κρατών στην ενσωμάτωση της Οδηγίας 2016/680 στις εσωτερικές τους έννομες τάξεις.

Μάλιστα, το επαπειλούμενο πρόστιμο για τη χώρα μας δεν είναι διόλου ευκαταφρόνητο: αγγίζει τα 2,5 εκατομμύρια ευρώ.

Μπροστά στον κίνδυνο της καταδίκης από το Δικαστήριο και του προστίμου, η νέα κυβέρνηση έθεσε στις 12 Αυγούστου προς δημόσια διαβούλευση ένα σχέδιο νόμου για την προστασία προσωπικών δεδομένων. Ως ημερομηνία λήξης της διαβούλευσης ορίστηκε η 20η Αυγούστου 2019.

Συνεπώς, δόθηκε ένα διάστημα 4 εργάσιμων ημερών εν μέσω δεκαπενταύγουστου (!) σε όλους τους πολίτες και τους ενδιαφερόμενους φορείς να καταθέσουν τις προτάσεις τους.

Ο συγκεκριμένος χειρισμός υποτιμά το θεσμό της δημόσιας διαβούλευσης και τη συμμετοχή των πολιτών στη νομοθετική διαδικασία, κρατώντας τον πολίτη μακριά από τη συμμετοχή στα κοινά. Η προθεσμία παρατάθηκε τελικά κατά μία ακόμη ημέρα, γεγονός το οποίο καθόλου δε βελτιώνει την κατάσταση.

Το μεγαλύτερο πρόβλημα είναι ότι το προτεινόμενο σχέδιο νόμου παρουσιάζει σημαντικές αστοχίες. Το σχέδιο νόμου προτείνει διαφοροποίηση προστίμων για τον ιδιωτικό και το δημόσιο τομέα. Ο GDPR δίνει πράγματι αυτήν την ευχέρεια (άρθρο 83 παρ. 7), καθώς υπάρχουν κράτη μέλη, στα οποία εκ του Συντάγματός τους δεν επιτρέπεται η επιβολή προστίμων και εν γένει κυρώσεων στις δημόσιες αρχές.

Ωστόσο, η Ελλάδα δεν εμπίπτει σε αυτή την κατηγορία κρατών. Μάλιστα, στο σχέδιο νόμου δεν τεκμηριώνεται η διαφοροποίηση ως προς την επιβολή διοικητικών προστίμων σε δημόσιους φορείς και σε ιδιώτες, ενώ η διαφοροποίηση δεν αναφέρεται σε δημόσιες αρχές, αλλά στον ευρύτατο κύκλο του δημοσίου τομέα.

Πρέπει να σημειωθεί ότι το ΣτΕ έκρινε πρόσφατα συνταγματική την επιβολή προστίμου από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην Γενική Γραμματεία Πληροφοριακών Συστημάτων, δηλαδή σε ένα κατεξοχήν δημόσιο φορέα. Εξάλλου, η ΑΠΔΠΧ διαθέτει συγκεκριμένα κριτήρια (GDPR άρθρο 83) για να προσδιορίσει το ύψος του διοικητικού προστίμου.

Φαντάζει πραγματικά παράλογη η προσπάθεια θεσμοθέτησης διαφορετικών κριτηρίων για τα πρόστιμα στον ιδιωτικό και στο δημόσιο τομέα, από τη στιγμή μάλιστα που ο δεύτερος διαχειρίζεται πολύ μεγαλύτερους και αρκετά πιο ευαίσθητους όγκους προσωπικών δεδομένων.

Επίσης, το σχέδιο νόμου αφαιρεί τη δυνατότητα που παρέχει ο GDPR στα υποκείμενα των δεδομένων να αναθέτουν την εκπροσώπησή τους σε μη κερδοσκοπικούς φορείς σχετικά με προσφυγές κατά αποφάσεων της ΑΠΔΠΧ και προσφυγής στα δικαστήρια.

Με τον τρόπο αυτό, το ελληνικό σχέδιο νόμου όχι μόνο μειώνει σημαντικά το επίπεδο προστασίας των δικαιωμάτων των πολιτών, αλλά έρχεται και σε αντίθεση με την ευρωπαϊκή νομοθεσία (GDPR άρθρο 80, παρ. 1), την οποία -υποτίθεται ότι- ενσωματώνει.

Σε άλλο σημείο το σχέδιο νόμου δίνει «ανακριτικές εξουσίες» στον εργοδότη, ο οποίος αποκτά το δικαίωμα να διενεργεί έρευνες για την αποκάλυψη ποινικών αδικημάτων σε προσωπικά δεδομένα των εργαζομένων του (π.χ. υπολογιστές, κινητά τηλέφωνα, κλπ), κρίνοντας ο ίδιος και όχι κάποιο ανακριτικό όργανο(!) αν υπάρχουν ενδείξεις και αποδεικτικά στοιχεία.

Η ρύθμιση αυτή έρχεται σε καταφανή αντίθεση με τη νομολογία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου (υποθέσεις Barbulescu, Kopke, κ.ά.) και δεν μπορεί να γίνει κατανοητό με ποιο τρόπο η χώρα μας δε θα καταδικαστεί από το εν λόγω Δικαστήριο σε περίπτωση που εφαρμοστεί αυτή η διάταξη.

Οι παραπάνω αστοχίες είναι ενδεικτικά κάποιες από τις πολλές που παρουσιάζει το προτεινόμενο σχέδιο νόμου. Η Homo Digitalis έχει επισημάνει πολύ περισσότερες, οι οποίες βρίσκονται αναρτημένες ως σχόλια στο προτεινόμενο σχέδιο νόμου, όπως τέθηκε σε διαβούλευση. Μπορείτε να τις δείτε όλες συγκεντρωμένες εδώ.

Παρά τα περισσότερα από 240 σχόλια και προτάσεις που κατατέθηκαν στο πλαίσιο της δημόσιας διαβούλευσης, το σχέδιο νόμου κατατέθηκε στη Βουλή στις 22 Αυγούστου, δηλαδή μόλις μία ημέρα μετά τη λήξη της διαβούλευσης.

Τα σχόλια που έγιναν δε φαίνονται να λήφθηκαν σχεδόν καθόλου υπόψη, καθώς το σχέδιο νόμου που κατατέθηκε παρουσιάζει ελάχιστες διαφορές από το σχέδιο που δόθηκε προς διαβούλευση.

Είναι προφανές ότι η παραπομπή της χώρας μας στο Δικαστήριο της Ευρωπαϊκής Ένωσης, προκάλεσε την αντίδραση του έλληνα νομοθέτη, ο οποίος κινήθηκε σχετικά γρήγορα για να καλύψει τη σημαντική του καθυστέρηση. Όμως, με την κίνηση αυτή, δεν πρόκειται να αποφύγει την καταδίκη από το Δικαστήριο.

Όπως δεν πρόκειται και η φίλη μου να αποφύγει την γκρίνια των φίλων της κάθε φορά που αργεί μιάμιση ώρα στα ραντεβού της. Ίσως θα ήταν πιο σκόπιμο να μάθουν τόσο η φίλη μου όσο και η Ελλάδα ότι από τη στιγμή που άργησες, δεν πειράζει να αργήσεις λίγο ακόμα.

Αρκεί να παρουσιαστείς όπως πρέπει. Και όχι με τζιν σορτσάκι και βρεγμένα μαλλιά σε δεξίωση…