Έρευνα για την διαδικτυακή ασφάλεια και ιδιωτικότητα των παιδιών στην Ελλάδα καταδεικνύει υψηλά επίπεδα ανησυχίας μεταξύ ενηλίκων και νέων

Η Έρευνα,* η οποία πραγματοποιήθηκε από την YouGov, την Humankind Research και τη HomoDigitalis τον Μάιο του 2023. αναδεικνύει την τρέχουσα ελληνική πραγματικότητα, εξετάζοντας τις προκλήσεις, τις ανησυχίες και τις συστάσεις των νέων για την ενίσχυση της προστασίας και της ιδιωτικής τους ζωής στο διαδίκτυο.

Συνολικά, η έρευνα διαπίστωσε υψηλά επίπεδα ανησυχίας μεταξύ των ενηλίκων και των νέων που συμμετείχαν στην έρευνα, οι οποίοι υπογραμμίζουν την ανάγκη υποστήριξης και εφαρμογής ενός ισχυρού κώδικα για την διασφάλιση της ιδιωτικότητας των παιδιών στο διαδίκτυο. Επιπλέον, η έρευνα υπογραμμίζει πόσο κρίσιμη είναι η ανάγκη επένδυσης στην ευαισθητοποίηση των Ελλήνων πολιτών, ενήλικων και μη, σε θέματα ιδιωτικότητας, προστασίας και ασφάλειας στο διαδίκτυο. Ενδεικτικά μερικά από τα αποτελέσματα της έρευνας:

• Το 83% των Ελλήνων ανησυχούν για την ιδιωτικότητα των παιδιών στο διαδίκτυο.

• Οι περισσότεροι Έλληνες (71%) εξέφρασαν έλλειψη εμπιστοσύνης στις ψηφιακές πλατφόρμες για τη διασφάλιση της ιδιωτικής ζωής των παιδιών και των νέων στο διαδίκτυο.

• Η σημαντική πλειοψηφία των Ελλήνων (84%) πιστεύει ότι τα παιδιά έχουν ελάχιστο έλεγχο στον τρόπο συλλογής και χρήσης των δεδομένων τους.

• Οι περισσότεροι Έλληνες (68%) πιστεύουν ότι οι γονείς είναι πρωτίστως υπεύθυνοι για την προστασία των παιδιών στο διαδίκτυο.\

• Το 76% των Ελλήνων θεωρεί ότι οι ισχύοντες κανόνες είναι ανεπαρκείς για την προστασία της ιδιωτικής ζωής και των δεδομένων των παιδιών και των νέων, ενώ το 38% των Ελλήνων δεν πιστεύει ότι οι πλατφόρμες συμμορφώνονται στους κανόνες και λογοδοτούν στους κανόνες.

 

Στο πλαίσιο της έρευνας οι επιστημονικοί υπεύθυνοι συναντήθηκαν με νέους συμμετέχοντες -κάτω των 18- σε τριμελείς ομάδες (focus group), οι οποίες παρείχαν πολύτιμες πληροφορίες σχετικά με τις εμπειρίες των τελευταίων στον ψηφιακό κόσμο. Συγκεκριμένα, οι νέοι εξέφρασαν:

• Όταν έμαθαν, οι περισσότεροι για πρώτη φορά, τις επεμβατικές διαδικασίες συλλογής δεδομένων που χρησιμοποιούνται διαδικτυακά, οι νεαροί συμμετέχοντες εξέφρασαν σοκ και υψηλά επίπεδα ανησυχίας για τον τεράστιο όγκο πληροφοριών που συλλέγονται γι‘ αυτούς, νιώθοντας πως δεν έχουν τον έλεγχο για να σταματήσουν κάτι τέτοιο.

• Αισθάνθηκαν πως το να παρέχουν αδιακρίτως τα δεδομένα τους στις ψηφιακές πλατφόρμες είναι μονόδρομος, διαφορετικά διακινδυνεύουν την απομόνωση από φίλους, οικογένειες και την κοινωνική τους ζωή στο διαδίκτυο.

Έλλειψη προστασίας: Θεωρούν τους ισχύοντες κανόνες και κανονισμούς ως ανεπαρκείς για την προστασία τους.

 

Μπορείτε να βρείτε την έρευνα και να μάθετε περισσότερα για τα αποτελέσματά της εδώ στα ελληνικά & εδώ στα αγγλικά. 

Επίσης, το σχετικό Δελτίο Τύπου βρίσκεται ελεύθερα διαθέσιμα, εδώ.

* Το δείγμα της έρευνας ήταν 1.006 Έλληνες ηλικίας 18 ετών και άνω, με λίγο περισσότερο από το ένα τρίτο (323) των ερωτηθέντων να είναι γονείς παιδιών κάτω των 18 ετών. Για να εξασφαλιστεί η ακρίβεια και η αντιπροσωπευτικότητα των πορισμάτων, εφαρμόστηκαν κατάλληλες τεχνικές στάθμισης Για παράδειγμα οι απαντήσεις της έρευνας προσαρμόστηκαν ώστε να ταιριάζουν με τα δημογραφικά χαρακτηριστικά ολόκληρου του ελληνικού ενήλικου πληθυσμού, πράγμα που σημαίνει ότι αυτή η έρευνα είναι εθνικά αντιπροσωπευτική των ατόμων άνω των 18 ετών.

 


5+ χρόνια GDPR: Η Homo Digitalis σχολιάζει για την έκθεση της Ευρωπαϊκής Επιτροπής

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) ψηφίστηκε το 2016, ενώ ξεκίνησε να εφαρμόζεται στις 25 Μαϊου 2018.

Αποτελεί το βασικό νομοθέτημα της Ευρωπαϊκής Ένωσης για την προστασία του δικαιώματος στην προστασία προσωπικών δεδομένων. Θεωρείται ως το πιο πετυχημένο νομοθέτημα για το συγκεκριμένο θέμα διεθνώς, με πολλά κράτη να χρησιμοποιούν τον GDPR ως βάση για τη δημιουργία δικής τους νομοθεσίας προστασίας προσωπικών δεδομένων. Η Ευρωπαϊκή Επιτροπή κάλεσε όλα τα ενδιαφερομένα μέρη (δημόσιους φορείς, ιδιωτικές εταιρείες, κρατικές αντιπροσωπείες, οργανώσεις της κοινωνίας των πολιτών, πολίτες, κλπ.) να παρέχουν σχόλια σχετικά με την εφαρμογή του GDPR καθ’όλα αυτά τα χρόνια.

Τα σχόλια θα χρησιμοποιηθούν από την Ευρωπαϊκή Επιτροπή για τη σύνταξη έκθεσης με στόχο την αξιολόγηση της εφαρμογής του GDPR και την πιθανή βελτίωσή του. Η έκθεση αυτή αναμένεται να δημοσιευθεί στα μέσα του 2024. Η Homo Digitalis συμμετείχε ενεργά στην παροχή σχολίων. Μπορείτε να διαβάσετε συγκεντρωμένα τα σχόλια της Homo Digitalis εδώ.

Ευχαριστούμε θερμά τα μέλη μας Χρήστο Ζαγγανά, Αυγή Σαουλίδου, Δανάη Σκεύη και Κωνσταντίνο Κακαβούλη για τη συμμετοχή τους σε αυτή τη διαδικασία!

 


Mr GDPR: Εγώ θα σώσω την χώρα;

Γράφει o Δημοσθένης Κωστούλας ΜΒΑ, MSc, BSc*

Ο μεσημεριανός μου ύπνος βρισκόταν ήδη σε εξέλιξη και τα πρώτα χαλαρωτικά όνειρα άρχισαν να με συντροφεύουν. Άλλωστε, σπάνια πλέον βρίσκω χρόνο για μεσημεριανή siesta, αλλά αυτήν την Κυριακή επιτέλους τα κατάφερα!

Ο βαθύς ύπνος διακόπτεται βιαίως από μια εισερχόμενη κλήση στο κινητό μου… «Παρακαλώ;», απάντησα νυσταγμένα και κάπως τρομαγμένα από το ξαφνικό εγερτήριο. «Καλησπέρα σας. Κ. Κωστούλα, σας καλούμε από το γραφείο του υποψηφίου για τις περιφερειακές εκλογές κ.Τάδε Ταδόπουλου για να σας ενημερώσουμε για τις θέσεις και τις απόψεις του για την Περιφέρεια στην οποία ψηφίζετε. Θα μπορούσα να σας απασχολήσω για λίγα λεπτά;», ανέφερε από την άλλη γραμμή μια ευγενική φωνή. Προς στιγμήν τα έχασα… Κοιμόμουνα, ήταν Κυριακή τρεις και μισή το μεσημέρι, κάποιος κ. Ταδόπουλος και η παρέα του με γνώριζε, ενώ γνώριζε και σε ποια περιφέρεια ψηφίζω.. Μα που με γνώριζαν ο κ.Ταδόπουλος και η ευγενική βοηθός του; Να ήμουνα και κανένας διάσημος… «Εμμ, συγνώμη ευγενική μου κυρία, αλλά πως γνωρίζετε το επίθετο μου, τον αριθμό του τηλεφώνου μου και το μέρος που ψηφίζω;», ρώτησα ευγενικά. «Όσο για το ακατάλληλων της ώρας, δεν θα το σχολιάσω». «Συγνώμη για την ενόχληση. Τα στοιχεία σας υπάρχουν από παλαιότερα», απάντησε κάπως σαστισμένη η συνομιλήτρια μου, για να κληθεί να απαντήσει στο επόμενο ερώτημα μου: «Από πού και από πότε ακριβώς υπάρχουν τα στοιχεία μου; Δεν θυμάμαι να έχω δώσει ποτέ την συγκατάθεση μου στον κ. Ταδόπουλο για να τηρεί τα προσωπικά μου δεδομένα στο αρχείο του.». Δεν ανέμενα να λάβω καμία πειστική απάντηση, όπως έτσι και έγινε. Δεν υπήρχε τίποτα παραπάνω να αναφέρει η συνομιλήτρια μου, πριν ολοκληρώσει βιαστικά την τηλεφωνική μας συνομιλία. «Δεν θα ήταν σωστό να καταγγείλω την παράνομη επεξεργασία στην Αρχή Προστασίας Δεδομένων;», αναρωτήθηκα. Αλλά ακριβώς εκείνη την στιγμή, με διαπέρασε το… ελληνικό σύνδρομο: «Ωχ αδερφέ… εγώ θα σώσω την χώρα;… Δεν μπορεί μόνο εγώ να προσπαθώ να διορθώνω τα πράγματα και τελικά να μην αλλάζει τίποταΆλλωστε, ποιος τα βάζει με τους υποψήφιους πολιτικούς άρχοντες!».

Την επόμενη ημέρα το απόγευμα, ήρθε η ώρα να επισκεφτώ τον ιατρό μου. Στα ράφια του σαλονιού αναμονής του ιατρείου, μπορούσε κάποιος να δει όλους τους φακέλους των υπόλοιπων πελατών / ασθενών, με φαρδιά πλατιά γραμμένα τα ονοματεπώνυμα τους επάνω στους φακέλους και τις ημερομηνίες επίσκεψης τους. «Γιατί πρέπει να γνωρίζω ποιοι και πότε έχουν επισκεφτεί τον ιατρό και, μάλιστα, να μου δίνεται η δυνατότητα να ξεφυλλίσω κάποιους από τους φακέλους, αν ήμουν περίεργος ή/και κακοπροαίρετος;», σκέφτηκα, για να διακόψει την σκέψη μου η τσιριχτή φωνή της γραμματέως: «Ο κ. Κωστούλας να περάσει μέσα»! Ξάφνου, με κοιτούσαν 4 ζευγάρια μάτια από τους υπόλοιπους επισκέπτες του ιατρείου. «Τώρα που γνωρίζουν πως ονομάζομαι, πιθανότατα να προσπαθούν να μαντέψουν από τι πάσχω ή τι εξέταση θα μου κάνει ο ιατρός..», σκέφτηκα εκνευρισμένος ενώ κατευθυνόμουνα με σκυμμένο το κεφάλι προς το γραφείο του ιατρού. Στην πραγματικότητα, κανείς δεν ασχολούνταν μαζί μου… Όπως πιθανότατα δεν θα ασχολήθηκαν όταν λάβανε πριν δύο ημέρες ένα ενημερωτικό email από το ίδιο ιατρείο, με κοινή θέα όλους τους παραλήπτες, οι οποίοι προφανώς αποτελούσαν το σύνολο των πελατών / ασθενών του συγκεκριμένου ιατρού… Αλλά ακριβώς εκείνη την στιγμή, με διαπέρασε το… ελληνικό σύνδρομο: «Ωχ αδερφέ… εγώ θα σώσω την χώρα;… Δεν μπορεί μόνο εγώ να προσπαθώ να διορθώνω τα πράγματα και τελικά να μην αλλάζει τίποτα… Άλλωστε ποιος τα βάζει με τον ιατρό του, που τον γνωρίζει τόσα χρόνια;!».

Έφτασε η Κυριακή. Επιτέλους, μόλις κάθισα στην θέση του γηπέδου για να δω την αγαπημένη μου ομάδα! Τι ντέρμπι θα είναι και αυτό! «Είναι η κατάλληλη ώρα να απολαύσω το παγωτό μου, πριν ξεκινήσει ο αγώνας», σκέφτηκα και ξεκίνησα να το απολαμβάνω «μπουκιά – μπουκιά». Ξαφνικά, άρχισα να ακούω από τριγύρω μου χαριτωμένα σχόλια για το τι γεύση μπορεί να έχει το παγωτό κλπ., για να σηκώσω το κεφάλι μου και να δω τον εαυτό μου στο τεράστιο video wall του γηπέδου, να κρατάει το λαχταριστό παγωτό! Πλέον των 20.000 φιλάθλων με… θαύμαζε στους ηλεκτρονικούς πίνακες του γηπέδου και εγώ κοιτούσα αποσβολωμένος, με ένα απροσδιόριστο αίσθημα ενοχής! «Μα γιατί πρέπει να με βλέπουν όλοι στις τεράστιες οθόνες και να με σχολιάζουν;», αναρωτήθηκα από μέσα μου. Να ήμουνα και κανένας διάσημος Να ήμουνα και κανένας όμορφος «Θα έπρεπε να με ρωτούσε ο σκηνοθέτης και ο κάμεραμαν ή είναι δεδομένο ότι, όταν εμφανίζεσαι σε δημόσιες εκδηλώσεις και δημόσιους χώρους, είσαι «έρμαιο» του καθενός να σε αποθανατίζει όποια ώρα επιθυμεί και σε όποια φάση και αν σε βρει;».

Η συγκεκριμένη στιγμή μου θύμισε ένα παρόμοιο συμβάν της προηγούμενης χρονιάς, όταν σε ένα νυχτερινό δελτίο ειδήσεων υψηλής ακροαματικότητας, είχα δει έκπληκτος τον εαυτό μου να κολυμπάει στην παραλία με ένα σωσίβιο σε σχήμα μονόκερου ροζ χρώματος (της κόρης μου!), με αποτέλεσμα την επόμενη μέρα να είμαι ο περίγελος στον χώρο εργασίας μου… «Τι σχέση είχα εγώ με το γενικό ρεπορτάζ για τις γεμάτες παραλίες τις ζεστές ημέρες του καλοκαιριού;», είχα αναρωτηθεί τότε… Να ήμουνα και κανένας διάσημος.. Να ήμουνα και κανένας όμορφος

«Ουφ! Τα βαρέθηκα όλα», σκέφτηκα. «Θα σηκωθώ να φύγω διακοπές με το αεροπλάνο, θα πάω μακριά από όλες αυτές τις σκέψεις περί μη σεβασμού των προσωπικών μου δεδομένων.. θα πάω να χαλαρώσω..»!

«Ο κ. Δ. Κωστούλας να εμφανιστεί αμέσως στην πύλη 9 γιατί η πτήση ΟΑ 935 είναι έτοιμη να αναχωρήσει. Επαναλαμβάνω, ο κ. Δ. Κωστούλας….». Εκεί που έτρεχα λαχανιασμένος με την βαλίτσα μου για να προλάβω την πτήση μου προς… την χαλάρωση, άκουγα αριστερά και δεξιά πειράγματα του τύπου «Τρέξε Κωστούλα, τρέξε», με ευθεία παραπομπή στο αγαπημένο μου έργο Forest Gump και την αείμνηστη φράση «Run Forest, run!». Μέσα στην αγωνία και τον πανικό μου, βρήκα τον χρόνο να αναρωτηθώ γιατί έπρεπε να γνωρίζουν όλοι οι επισκέπτες του αεροδρομίου το όνομα του φουκαρά που καθυστέρησε και τρέχει αλλόφρων για να προλάβει την πτήση του… Να ήμουνα και κανένας διάσημος!

«Ωχ αδερφέ… εγώ θα σώσω την χώρα;… Δεν μπορεί μόνο εγώ να προσπαθώ να διορθώνω τα πράγματα και τελικά να μην αλλάζει τίποτα… Άλλωστε ποιος τα βάζει με τους πάντες… ποιος τα βάζει με το σύστημα»!

 

*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, CQI IRCA Certified Lead Auditor ISO 9001:2015, ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ, MSc in International Business and Finance και Diploma in Digital & Social Media Marketing (ACT). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι μέλος Δ.Σ. του European Association of Data Protection Professional (EADPP) και γενικός γραμματέας και επικεφαλής της επιτροπής επικοινωνίας & εκδηλώσεων  του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH) και μέλος της Homo Digitalis.


Φίλτρα Προσώπου στα Μέσα Κοινωνικής Δικτύωσης

Γράφει η Αυγή Σαουλίδου*

Στο πλαίσιο της ψηφιακής επανάστασης που χαρακτηρίζει την εποχή μας, τα μέσα κοινωνικής δικτύωσης έχουν αναδειχθεί σε ένα ισχυρό μέσο που διαμορφώνει τον τρόπο με τον οποίο συνδεόμαστε, μοιραζόμαστε εμπειρίες και εκφραζόμαστε στην καθημερινότητά μας. Εντός αυτού του δυναμικού και συνεχώς εξελισσόμενου τοπίου, όπου η εικόνα πρωταγωνιστεί, έχουν γίνει εξαιρετικά δημοφιλή και χρησιμοποιούντα  μαζικά από τους χρήστες των social media τα φίλτρα προσώπου (AR Filters). Ενώ αυτά τα φίλτρα συχνά προσδίδουν μία ανάλαφρη και διασκεδαστική διάθεση στις ψηφιακές μας αλληλεπιδράσεις, οι συνέπειες της χρήσης τους δημιουργούν ένα πολύπλευρο ζήτημα που χρήζει προσεκτικής εξέτασης.

Η χρήση των φίλτρων προσώπου (AR Filters) στα μέσα κοινωνικής δικτύωσης

Η ταχύτητα με την οποία εναλλάσσονται οι πληροφορίες σήμερα, έχει αναδείξει σε βασικό στοιχείο επικοινωνίας την εικόνα. Μια εικόνα είναι ικανή να εκφράσει συναισθηματικές καταστάσεις, να αναδείξει μηνύματα και να προκαλέσει συναισθήματα πολύ πιο άμεσα και έντονα από ένα κείμενο. Ενώ οι λέξεις λοιπόν μπορούν να μεταδώσουν συγκεκριμένες πληροφορίες, η εικόνα υπερέχει στην απεικόνιση σύνθετων εννοιών προσφέροντας μια ολοκληρωμένη εμπειρία. Όπως συνηθίζουμε να λέμε «μία εικόνα, χίλιες λέξεις». Επιπλέον, η ανάγκη για αποδοχή στα social media, η οποία αποτυπώνεται μέσω των likes στις αναρτήσεις των χρηστών, δημιούργησε την ανάγκη για ψηφιακή επεξεργασία των εικόνων/φωτογραφιών με σκοπό τη βελτίωσή τους. Έτσι οδηγηθήκαμε στην εκτεταμένη χρήση των εργαλείων ψηφιακής επεξεργασίας εικόνας και αργότερα η τάση αυτή επεκτάθηκε στην ευρεία χρήση φίλτρων επαυξημένης πραγματικότητας (AR Filters) που εφαρμόζουν στο πρόσωπο των χρηστών στα μέσα κοινωνικής δικτύωσης (Facebook, Instagram, TikTok κ.α.). Η μαζική χρήση των φίλτρων προσώπου όμως έχει πολλαπλές συνέπειες, αρχικά στην ιδιωτικότητα των χρηστών και αν προχωρήσουμε λίγο βαθύτερα, έχει κοινωνικές και ψυχολογικές επιπτώσεις τόσο στους ίδιους τους χρήστες των φίλτρων προσώπου, όσο και στους αποδέκτες των ψηφιακά αλλοιωμένων εικόνων.

Οι επιπτώσεις στην ιδιωτικότητα και στην ψυχική υγεία των χρηστών

Η χρήση των φίλτρων προσώπου συνιστά μία νέα πρόκληση για την προστασία της ιδιωτικότητας. Οι εφαρμογές φίλτρων προσώπου, αξιοποιώντας προηγμένη τεχνολογία αναγνώρισης προσώπου, ανιχνεύουν χαρακτηριστικά προσώπου και τα τροποποιούν. Σε πρώτο επίπεδο, η συλλογή δεδομένων προσώπου εγείρει βάσιμες ανησυχίες που αφορούν τον τρόπο διαχείρισης, δυνητικής εκμετάλλευσης ή ακόμη και κατάχρησης αυτών των δεδομένων, χωρίς την ενημέρωση και συγκατάθεση των χρηστών. Οι χρήστες, λόγω μη επαρκούς πληροφόρησης και παρασυρμένοι από την παιγνιώδη διάθεση που τους καταλαμβάνει όταν χρησιμοποιούν τέτοιου είδους εφαρμογές, είναι πιθανό να εκθέσουν ακούσια τα προσωπικά τους δεδομένα. Ακόμη, οι επιπτώσεις της ευρείας χρήσης τεχνολογίας αναγνώρισης προσώπου επεκτείνονται πέρα από το άτομο, συμβάλλοντας στην ανάπτυξη και αποδοχή μίας κουλτούρας παρακολούθησης.

Σε δεύτερο επίπεδο, ενώ τα φίλτρα προσώπου στοχεύουν είτε να βελτιώσουν αισθητικά τις εικόνες είτε να διασκεδάσουν τους χρήστες, συμβάλλουν επίσης στην ανάπτυξη ενός ψηφιακού τοπίου, όπου διαστρεβλώνονται ολοένα και περισσότερο οι αντιλήψεις για την ταυτότητα και την ομορφιά. Η συνεχής έκθεση των χρηστών των μέσων κοινωνικής δικτύωσης σε εξιδανικευμένες, ψηφιακά αλλοιωμένες εικόνες έχει παρατηρηθεί ότι επηρεάζει σημαντικά την αυτοεκτίμηση και δημιουργεί στρεβλή αντίληψη για την εικόνα των ατόμων. Ιδίως οι χρήστες νεότερων ηλικιών συνιστούν πιο ευάλωτες και επιρρεπείς ομάδες. Μάλιστα έρευνες των τελευταίων ετών έχουν συσχετίσει την εκτεταμένη χρήση φίλτρων προσώπου με την αύξηση των αισθητικών επεμβάσεων στις νεαρές ηλικίες. Ενδεικτικός του φαινομένου είναι ο όρος “Snapchat Dysmorphia”, ο οποίος περιγράφει την αίσθηση αποσύνδεσης που βιώνουν κάποιοι χρήστες μεταξύ της πραγματικής τους εμφάνισης και των εικόνων που μοιράζονται με τον κόσμο.  Οι σημαντικές αυτές κοινωνικές επιπτώσεις της καθιέρωσης μη ρεαλιστικών προτύπων ομορφιάς αναδεικνύουν την ευθύνη των μέσων κοινωνικής δικτύωσης αναφορικά με την χρήση νέων τεχνολογιών.

Νομοθετικές Ρυθμίσεις και Εταιρική Κοινωνική Ευθύνη

Σε απάντηση στις προκλήσεις που θέτουν τα φίλτρα προσώπου, κυβερνήσεις και φορείς ενεργούν για την καθιέρωση νομοθεσίας που αφορά στην τους στο διαδίκτυο, στην χρήση τεχνολογίας αναγνώρισης προσώπου και στην προστασία των προσωπικών δεδομένων. Αυτή η νομοθεσία αντικατοπτρίζει την αναγνώριση της ανάγκης ισορροπίας μεταξύ της καινοτομίας και της προστασίας των ψηφιακών δικαιωμάτων.

Ενδεικτικά, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), τα βιομετρικά δεδομένα, τα οποία συλλέγονται κατά τη χρήση τεχνολογίας αναγνώρισης προσώπου, συνιστούν ευαίσθητα δεδομένα, η επεξεργασία των οποίων επιτρέπεται μόνο κατ’ εξαίρεση. Επιπλέον, σχετικά με την χρήση τεχνολογίας αναγνώρισης προσώπου, η  Συμβουλευτική Επιτροπή της Σύμβασης για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει εκδώσει σχετικές κατευθυντήριες γραμμές το 2021 (Guidelines on facial recognition, 2021). Σχετικά με τον αντίκτυπο στην ψυχική υγεία των χρηστών, κάποιες ευρωπαϊκές χώρες όπως η Νορβηγία και η Γαλλία έχουν θεσπίσει ήδη νομοθεσία, σύμφωνα με την οποία  οι influencers, εφόσον χρησιμοποιούν φίλτρα προσώπου, είναι υποχρεωμένοι/ες να κάνουν σχετική αναφορά στις αναρτήσεις τους προκειμένου να μην παραπλανούν τους αποδέκτες του περιεχομένου τους.

Ωστόσο, τα μέσα κοινωνικής ως κύριοι πάροχοι αυτών των τεχνολογιών έχουν σημαντική ευθύνη και οφείλουν να αναλάβουν ενεργό ρόλο για τη διασφάλιση της ενημέρωσης των χρηστών και της υπεύθυνης χρήσης των φίλτρων προσώπου, υιοθετώντας διαφανείς πολιτικές, ισχυρούς μηχανισμούς συναίνεσης και διασφαλίσεις κατά της κατάχρησης. Στόχος θα πρέπει να είναι η επαρκής ενημέρωση των χρηστών και η προώθηση ενός ψηφιακού περιβάλλοντος που δίνει προτεραιότητα στην ευημερία των χρηστών.

Συμπέρασμα

Παρά το γεγονός ότι τα φίλτρα προσώπου των μέσων κοινωνικής δικτύωσης έχουν αδιαμφισβήτητα φέρει επανάσταση στην ψηφιακή αυτοέκφραση, ο αντίκτυπός τους στα ψηφιακά δικαιώματα δεν μπορεί να υποτιμηθεί. Η προστασία της ιδιωτικής ζωής, η συναίνεση, η παραπλάνηση, η ανάπτυξη μη ρεαλιστικών προτύπων ομορφιάς και η επίδραση αυτών στην ψυχολογία των χρηστών συνιστούν περίπλοκα ζητήματα με πολλές προεκτάσεις, τα οποία απαιτούν ανάλυση και αντιμετώπιση.

Η εύρεση ισορροπίας μεταξύ της προώθησης της καινοτομίας και της εφαρμογής αποτελεσματικών κανονιστικών μέτρων είναι κρίσιμη κατά την περιήγησή μας στον δυναμικό χώρο των μέσων κοινωνικής δικτύωσης. Καθώς εξερευνούμε τις δυνατότητες της επαυξημένης πραγματικότητας και της ψηφιακής αυτοέκφρασης, είναι επιτακτικό να δοθεί προτεραιότητα στην προστασία των ατομικών δικαιωμάτων αλλά και στην διαφύλαξη της ψυχικής υγείας των χρηστών. Έτσι θα διασφαλιστεί ότι ο ψηφιακός χώρος παραμένει ένας τόπος όπου οι χρήστες μπορούν ελεύθερα να εκφράζονται χωρίς να θέτουν σε κίνδυνο την ιδιωτικότητά, την αυτονομία και την ευημερία τους.

*Η Αυγή Σαουλίδου είναι Νομικός και Υπεύθυνη Προστασίας Δεδομένων στο Ελληνικό Ίδρυμα Έρευνας και Καινοτομίας.


Η νέα Πράξη για την Τεχνητή Νοημοσύνη: οι απαγορευμένες πρακτικές στον τομέα της τεχνητής νοημοσύνης

Γράφει η Κατερίνα Μεζίνη*

Τα συστήματα τεχνητής νοημοσύνης («συστήματα ΤΝ») μπορούν εύκολα να χρησιμοποιηθούν σε πολλούς τομείς της οικονομίας και της κοινωνίας, μεταξύ άλλων και σε διασυνοριακό επίπεδο, και να κυκλοφορούν σε ολόκληρη την Ένωση. Η Τεχνητή Νοημοσύνη αποτελεί μία διαρκώς εξελισσόμενη τεχνολογία που μπορεί να αποφέρει πολλά κοινωνικά και οικονομικά οφέλη. Παράλληλα όμως, ανάλογα με τον τρόπο και τον σκοπό για τον οποίον χρησιμοποιείται μπορεί να χρησιμοποιηθεί καταχρηστικά, να δημιουργήσει κινδύνους και να παραβιάσει τα προστατευόμενα ατομικά δικαιώματα. Για παράδειγμα, η ΤΝ μπορεί να χρησιμοποιηθεί- και έχει χρησιμοποιηθεί- προκειμένου να εντείνει τη διαρκή παρακολούθηση των πολιτών, την καταστολή, τον κοινωνικό έλεγχο, τη χειραγώγηση, τη λογοκρισία και την εκμετάλλευση ανθρώπου από άνθρωπο  παραβιάζοντας με αυτό τον τρόπο θεμελιώδη δικαιώματα των πολιτών όπως την ανθρώπινη αξιοπρέπεια, την προστασία της ιδιωτικής ζωής, των προσωπικών δεδομένων και την ελευθερία της έκφρασης.

Ως μέρος της ψηφιακής στρατηγικής της, η ΕΕ θέλησε να ρυθμίσει την τεχνητή νοημοσύνη (AI) για να εξασφαλίσει καλύτερες συνθήκες για την ανάπτυξη και τη χρήση αυτής της τεχνολογίας. Τον Απρίλιο του 2021, η Ευρωπαϊκή Επιτροπή υπέβαλε Πρόταση Κανονισμού  για την τεχνητή νοημοσύνη. Στις 9 Δεκεμβρίου 2023, το Κοινοβούλιο κατέληξε σε προσωρινή συμφωνία με το Συμβούλιο σχετικά με την πράξη Τεχνητής Νοημοσύνης. Το συμφωνηθέν κείμενο θα πρέπει τώρα να εγκριθεί επίσημα τόσο από το Κοινοβούλιο όσο και από το Συμβούλιο για να γίνει δίκαιο της ΕΕ.

Σύμφωνα με τον ορισμό που περιλαμβάνει στο κείμενο της πρότασης ως Σύστημα Τεχνητής Νοημοσύνης ορίζεται: «το λογισμικό που αναπτύσσεται με μία ή περισσότερες από τις τεχνικές και προσεγγίσεις που παρατίθενται στο παράρτημα I και μπορεί, για ένα δεδομένο σύνολο στόχων που έχουν καθοριστεί από τον άνθρωπο, να παράγει στοιχεία εξόδου όπως περιεχόμενο, προβλέψεις, συστάσεις ή αποφάσεις που επηρεάζουν τα περιβάλλοντα με τα οποία αλληλεπιδρά».

Η ΕΕ επέλεξε να ρυθμίσει τα ζητήματα με μορφή Κανονισμού προκειμένου οι κανόνες του να έχουν άμεση ισχύ σε όλα τα κράτη-μέλη, συνεπής προς το στόχο της δημιουργίας «ενιαίας ψηφιακής αγοράς». Ο Κανονισμός περιλαμβάνει εν ολίγοις κανόνες που ρυθμίζουν τη διάθεση στην αγορά και τη θέση σε λειτουργία ορισμένων συστημάτων ΤΝ. Ο Κανονισμός ακολουθεί μία προσέγγιση «βάσει κινδύνου». Μέσω αυτής της προσέγγισης, το είδος και το περιεχόμενο των εν λόγω κανόνων αναμένεται να προσαρμοστούν στην ένταση και την έκταση των κινδύνων που μπορούν να δημιουργήσουν τα εκάστοτε συστήματα ΤΝ.

Η Ευρωπαϊκή Επιτροπή, μέσω της πρότασης Κανονισμού και σε σχέση με τις πρακτικές ΤΝ, διακρίνει τέσσερα διαφορετικά επίπεδα κινδύνου και ειδικότερα τον i) μη αποδεκτό κίνδυνο, ii) τον υψηλό κίνδυνο, iii) τον περιορισμένο κίνδυνο και iv) τον ελάχιστο κίνδυνο. Τα συστήματα ΤΝ που εντάσσονται στην κατηγορία μη αποδεκτού κινδύνου απαγορεύονται πλήρως, τα συστήματα υψηλού κινδύνου πρέπει να συμμορφώνονται με ειδικές απαιτήσεις ενώ τα συστήματα περιορισμένου ή χαμηλού κινδύνου πρέπει να συμμορφώνονται με λιγότερες ή καθόλου απαιτήσεις.

Το άρθρο 5 (τίτλος ΙΙ) καθορίζει τις «απαγορευμένες πρακτικές στον τομέα της τεχνητής νοημοσύνης», δηλαδή περιλαμβάνει όλα τα συστήματα ΤΝ των οποίων η χρήση θεωρείται μη αποδεκτή διότι αντιβαίνει στις αξίες της Ένωσης, για παράδειγμα παραβιάζοντας θεμελιώδη δικαιώματα. Σύμφωνα λοιπόν με το άρθρο 5 απαγορεύονται οι ακόλουθες πρακτικές στον τομέα της τεχνητής νοημοσύνης:

  • Η διάθεση στην αγορά, η θέση σε λειτουργία ή η χρήση συστημάτων ΤΝ που αποσκοπούν στη στρέβλωση της ανθρώπινης συμπεριφοράς, με την οποία είναι πιθανόν να προκληθούν σωματικές ή ψυχολογικές βλάβες. Αυτά τα συστήματα ΤΝ χρησιμοποιούν κατασκευαστικά στοιχεία που απευθύνονται στο υποσυνείδητο και τα οποία τα άτομα δεν μπορούν να αντιληφθούν, ή εκμεταλλεύονται ευάλωτα χαρακτηριστικά παιδιών και ανθρώπων λόγω της ηλικίας τους ή λόγω της σωματικής ή της διανοητικής αναπηρίας τους.
  • Η διάθεση στην αγορά, η θέση σε λειτουργία ή η χρήση ορισμένων συστημάτων ΤΝ που παρέχουν κοινωνική βαθμολόγηση των φυσικών προσώπων για γενική χρήση από τις δημόσιες αρχές ή για λογαριασμό τους. Τα συστήματα αυτά μπορεί να οδηγήσουν σε διακρίσεις και στον αποκλεισμό ορισμένων ομάδων. Αυτά τα συστήματα αξιολογούν ή ταξινομούν την αξιοπιστία των φυσικών προσώπων με βάση την κοινωνική τους συμπεριφορά ή με βάση τα γνωστά ή προβλεπόμενα προσωπικά χαρακτηριστικά τους ή χαρακτηριστικά της προσωπικότητάς τους.
  • Η χρήση συστημάτων ΤΝ για την εξ αποστάσεως βιομετρική ταυτοποίηση φυσικών προσώπων σε «πραγματικό χρόνο» σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου. Ο Κανονισμός προβλέπει εξαίρεση σε τρεις εξαντλητικά απαριθμούμενες και αυστηρά καθορισμένες περιπτώσεις: σε περίπτωση αναζήτησης δυνητικών θυμάτων εγκληματικών πράξεων, συμπεριλαμβανομένων των αγνοούμενων παιδιών, σε ορισμένες απειλές κατά της ζωής ή της σωματικής ακεραιότητας φυσικών προσώπων ή απειλές τρομοκρατικής επίθεσης και στον εντοπισμό, την ταυτοποίηση ή τη δίωξη δραστών ή υπόπτων για τα ποινικά αδικήματα που αναφέρονται στην απόφαση-πλαίσιο 2002/584/ΔΕΥ του Συμβουλίου, εφόσον τα εν λόγω ποινικά αδικήματα τιμωρούνται στο οικείο κράτος μέλος με στερητική της ελευθερίας ποινή ή στερητικό της ελευθερίας μέτρο ασφάλειας ανώτατης διάρκειας τουλάχιστον τριών ετών και όπως ορίζονται στο δίκαιο του εν λόγω κράτους μέλους.

Επισημαίνεται ότι κάθε χρήση συστήματος εξ αποστάσεως βιομετρικής ταυτοποίησης «σε πραγματικό χρόνο» σε δημόσια προσβάσιμους χώρους για σκοπούς επιβολής του νόμου θα πρέπει να υπόκειται σε ρητή και ειδική άδεια που χορηγείται από δικαστική αρχή ή από ανεξάρτητη διοικητική αρχή κράτους μέλους. Επιπρόσθετα, ο Κανονισμός ορίζει ότι η εν λόγω χρήση στην επικράτεια κράτους μέλους θα πρέπει να είναι δυνατή μόνο εφόσον το εν λόγω κράτος μέλος έχει αποφασίσει να προβλέψει ρητά τη δυνατότητα να επιτρέπεται η χρήση αυτή στο πλαίσιο των ειδικότερων κανόνων του εθνικού του δικαίου. Συνεπώς, τα κράτη μέλη έχουν την ευχέρεια να μην προβλέψουν καθόλου αυτή τη δυνατότητα.

Οι παραπάνω πρακτικές είναι ιδιαίτερα επιβλαβείς και απαγορεύτηκαν διότι έρχονται σε αντίθεση με τις ενωσιακές αξίες του σεβασμού της ανθρώπινης αξιοπρέπειας, της ελευθερίας, της ισότητας, της δημοκρατίας και του κράτους δικαίου, καθώς και με τα θεμελιώδη δικαιώματα της Ένωσης, συμπεριλαμβανομένου του δικαιώματος στη μη διακριτική μεταχείριση, στην προστασία των δεδομένων και της ιδιωτικότητας, καθώς και στα δικαιώματα του παιδιού.

Ωστόσο, ο Κανονισμός αφήνει μεγάλα περιθώρια στα Κράτη Μέλη να «νομιμοποιήσουν» τη χρήση συστημάτων βιομετρικής ταυτοποίησης για σκοπούς επιβολής του νόμου. Οι «εξαιρέσεις» που προβλέπει ο Κανονισμός στην πραγματικότητα είναι ευρείες και ανοίγουν τον δρόμο για τη χρήση των συστημάτων για σκοπούς μαζικής παρακολούθησης. Όπως πολύ εύστοχα παρατήρησε και η Access Now, οι εξαιρέσεις που θέτει θυμίζουν περισσότερο έναν «Οδηγό χρήσης μίας τεχνολογίας που δεν έχει θέση σε μία δημοκρατική και βασισμένη στα δικαιώματα κοινωνία». Επιπρόσθετα, προβληματικό είναι το γεγονός ότι τα συστήματα που χρησιμοποιούνται για «προβλεπτική» ή «προληπτική» αστυνόμευση (predictive policing) εντάσσονται στα συστήματα «υψηλού κινδύνου» και όχι στις απαγορευμένες πρακτικές. Συνεπώς, επιτρέπεται- υπό ορισμένες μόνο προϋποθέσεις- η χρήση συστημάτων τα οποία αξιολογούν ορισμένα ατομικά χαρακτηριστικά ή καταστάσεις και καταλήγουν σε ένα συμπέρασμα σχετικά με την πιθανότητα διάπραξης εγκλήματος από ορισμένο πρόσωπο ή σε ορισμένη γεωγραφική περιοχή, δίνοντας τη δυνατότητα στις αστυνομικές αρχές να παρακολουθούν προληπτικά ορισμένα πρόσωπα ή περιοχές [1]. Τα συστήματα αυτά, όπως έχει αποδειχθεί από πολλές έρευνες, αναπαράγουν διακρίσεις και διαιωνίζουν στερεότυπα και προκαταλήψεις έναντι κοινωνικών ομάδων, είναι επικίνδυνα για τις ατομικές ελευθερίες των πολιτών και θα έπρεπε να απαγορευτούν.

Αναμένεται να δούμε τον τρόπο με τον οποίον θα εφαρμοστούν οι κανόνες που περιλαμβάνει ο νέος Κανονισμός καθώς και εάν θα επιτευχθεί αποτελεσματική εποπτεία από τις αρμόδιες αρχές των κρατών μελών προκειμένου να προστατευτούν πραγματικά και στην ουσία τους τα δικαιώματα των πολιτών από την τεχνολογική αυτή δυνατότητα.

 

[1]Βλ. παράρτημα ΙΙΙ του Κανονισμού όπου εντάσσει στα συστήματα υψηλού κινδύνου: «Συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν από αρχές επιβολής του νόμου για τη διενέργεια ατομικών εκτιμήσεων κινδύνου όσον αφορά φυσικά πρόσωπα, προκειμένου να εκτιμηθεί ο κίνδυνος διάπραξης αδικήματος ή υποτροπής ή ο κίνδυνος για δυνητικά θύματα ποινικών αδικημάτων», «Συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν από αρχές επιβολής του νόμου για την πρόβλεψη της τέλεσης ή εκ νέου τέλεσης ποινικού αδικήματος, πραγματικού ή δυνητικού, με βάση την κατάρτιση προφίλ φυσικών προσώπων όπως αναφέρεται στο άρθρο 3 σημείο 4) της οδηγίας (ΕΕ) 2016/680 ή την αξιολόγηση των γνωρισμάτων και χαρακτηριστικών της προσωπικότητας ή προηγούμενης εγκληματικής συμπεριφοράς φυσικών προσώπων ή ομάδων, «Συστήματα ΤΝ που προορίζονται να χρησιμοποιηθούν από αρχές επιβολής του νόμου για την κατάρτιση προφίλ φυσικών προσώπων όπως αναφέρεται στο άρθρο 3 σημείο 4) της οδηγίας (ΕΕ) 2016/680 στο πλαίσιο της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων»

ΠΗΓΕΣ:

https://edri.org/our-work/eu-ai-act-deal-reached-but-too-soon-to-celebrate/

https://europeanaifund.org/newspublications/european-civil-society-on-the-ai-act-deal/

https://www.amnesty.org/en/latest/news/2023/12/eu-blocs-decision-to-not-ban-public-mass-surveillance-in-ai-act-sets-a-devastating-global-precedent/

https://www.europarl.europa.eu/news/el/press-room/20210930IPR13925/techniti-noimosuni-kai-astunomeusi-to-ek-kata-tis-mazikis-parakolouthisis

*Η Κατερίνα Μεζίνη είναι Δικηγόρος, απόφοιτη του τμήματος Νομικής του ΕΚΠΑ και του ΠΜΣ «Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών» του Πανεπιστημίου Πειραιώς.


Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *

Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.

Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.

Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.

Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:

  1. τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
  2. τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
  3. τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.

Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR,  η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.

Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.

 

ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Επιλογή τρόπου συμμόρφωσης

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.

Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

 

Πρώτη αυτοαξιολόγηση

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.

Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.

Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.

Ορισμός ομάδας εργασίας

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.

Πρώτη γνωστοποίηση στο προσωπικό

Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

 

ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Ενδεικτικό Πρόγραμμα Συμμόρφωσης

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.

Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.

Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.

Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.

 

ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Αρχικές εκπαιδεύσεις

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.

Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.

Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.

Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.

Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.

Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.

 

ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Επόμενες  συναντήσεις – επισκέψεις – εκπαιδεύσεις

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.

Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.

Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.

Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

Μελέτη Αντικτύπου (Data Privacy Impact Analysis)

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.

Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.

Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται  για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.

 

ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

Τελευταίες επισκέψεις και εκπαιδεύσεις

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.

Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

 

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.

Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).

Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).

Πηγές:

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021

http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020

Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL 


Η ΕΛ.ΑΣ. αρνείται πρόσβαση σε αποφάσεις που οφείλει να κοινοποιεί στην ιστοσελίδα της

Τον Δεκέμβριο του 2020 πολίτες απευθύνθηκαν στον Αρχηγό της Ελληνικής Αστυνομίας ζητώντας πρόσβαση στις αποφάσεις λειτουργίας drones και άλλων φορητών καμερών σε δημόσιους χώρους σύμφωνα με τις διατάξεις του άρθρου 12 του Προεδρικού Διατάγματος 75/2020 και τις διατάξεις του κώδικα διοικητικής διαδικασίας.

Η ΕΛ.ΑΣ. απάντησε στο αίτημα πρόσβασης αρκετούς μήνες μετά την κατάθεσή του αρνούμενη την ικανοποίηση του, παρά το γεγονός ότι οι αποφάσεις για τις οποίες αιτήθηκαν πρόσβαση οι πολίτες θα έπρεπε να έχουν ήδη κοινοποιηθεί στην ιστοσελίδα της.

Συγκεκριμένα, σύμφωνα με το άρθρο 12 παρ. 2 του Π.Δ. 75/2020, η ΕΛ.ΑΣ., ως υπεύθυνος επεξεργασίας, οφείλει κάθε φορά πριν την λειτουργία συστήματος επιτήρησης σε δημόσιο χώρο να εκδίδει και να κοινοποιεί την απόφαση λειτουργίας του συστήματος αυτού τουλάχιστον στην ιστοσελίδα της προσδιορίζοντας υποχρεωτικά: α) τον χρόνο ενεργοποίησης,   β) τη διάρκεια λειτουργίας του,  γ) την εμβέλεια λειτουργίας του,  δ) τα ειδικότερα χαρακτηριστικά του, και  ε) την αιτιολόγηση της σκοπιμότητας της χρήσης του σύμφωνα με τα όσα ορίζει το άρθρο 5 του Π.Δ. 75/2020 και το άρθρο 14 του ν.3917/2011.

Ωστόσο, η ΕΛ.ΑΣ. αρκείται στη δημοσίευση μίας απλής ανακοίνωσης στην ιστοσελίδα της, η οποία ενδεικτικά αναφέρει μόνο τον αριθμό της κάθε απόφασης λειτουργίας, τη διάρκεια λειτουργίας τους και τον τόπο λειτουργίας τους κατά γενικό και αόριστο τρόπο. Στην ανακοίνωση αυτή δεν κοινοποιείται δηλαδή το περιεχόμενο της απόφασης λειτουργίας, ενώ επίσης δεν γίνεται καμία αναφορά σε σημαντικά στοιχεία που ορίζει το άρθρο 12 παρ. 2 του Π.Δ. 75/2020 και συγκεκριμένα στην εμβέλεια λειτουργίας του συστήματος, στα ειδικότερα χαρακτηριστικά του, και στην αιτιολόγηση της σκοπιμότητας της χρήσης του.

Μπορείτε να δείτε αναλυτικά την απάντηση της ΕΛ.ΑΣ. τον Μάρτιο του 2021 στα αιτήματα πρόσβασης των πολιτών εδώ.


Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο

Γράφει ο Ευάγγελος Φαρμακίδης*

Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.

Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.

Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.

Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.

Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.

Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.

Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.

Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.

Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.

Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.

Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).

Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.

Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).

Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.

Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.

Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.

Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.

Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.

Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.

Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.

Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.

Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.

*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.


Καταγγελίες για παράβαση του GDPR από το 13033

Στις 8 Φεβρουαρίου 2021, 5 μέλη της Homo Digitalis υπέβαλλαν καταγγελίες κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033.

Οι καταγγελίες υποβλήθηκαν ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Στις 23 Νοεμβρίου 2020, 5 μέλη της οργάνωσης μας άσκησαν το δικαίωμα πρόσβασης προς τη Γενική Γραμματεία Πολιτικής Προστασίας προκειμένου να μάθουν ποια δεδομένα τους επεξεργάζεται η Γενική Γραμματεία κατά τη χρήση του 13033, για πόσο διάστημα τα διατηρεί, ποιος έχει πρόσβαση σε αυτά και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων από τη Γενική Γραμματεία.

Όπως ορίζεται ρητά στον GDPR αλλά και στην Πολιτική Απορρήτου του 13033, ο υπεύθυνος επεξεργασίας (δηλ. η Γενική Γραμματεία Πολιτικής Προστασίας) οφείλει να ικανοποιήσει χωρίς καθυστέρηση το δικαίωμα αυτό το αργότερο σε 1 μήνα από την υποβολή του αιτήματος.

Η προθεσμία αυτή μπορεί να παραταθεί για 2 επιπλέον μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγήσει ο υπεύθυνος επεξεργασίας είναι μεγάλος. Όμως, η παράταση της προθεσμίας πρέπει να γνωστοποιηθεί στον πολίτη εντός του πρώτου μήνα από την άσκηση του δικαιώματός του.

Σήμερα έχουν περάσει περισσότεροι από 2 μήνες από την άσκηση των δικαιωμάτων των μελών μας. Δεν έχουν λάβει ακόμα καμία απάντηση από τη Γενική Γραμματεία Πολιτικής Προστασίας, ούτε απόδειξη παραλαβής των αιτημάτων ή ενημέρωση που να αφορά στην πιθανή παράταση της προθεσμίας προκειμένου να σταλεί απάντηση στα αιτήματα τους.

Είναι σαφές ότι η Γενική Γραμματεία Πολιτικής Προστασίας έχει παραβεί τις υποχρεώσεις της με βάση τη νομοθεσία.

Υπενθυμίζεται ότι δεν είναι η μοναδική αστοχία όσον αφορά στην επεξεργασία προσωπικών δεδομένων από τη χρήση του 13033.

Η Homo Digitalis το 2020 προέβη σε τρεις ενέργειες που αφορούσαν στη χρήση του αριθμού αυτού. Αρχικά, έστειλε δύο επιστολές στη Γενική Γραμματεία Πολιτικής Προστασίας, τονίζοντας τις σημαντικές ασάφειες και τα κενά στην Πολιτική Απορρήτου σχετικά με την επεξεργασία δεδομένων από το 13033.

Καθώς οι επιστολές έμειναν αναπάντητες και δεν έγινε καμία τροποποίηση της Πολιτικής Απορρήτου, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων σχετικά με τη χρήση του αριθμού 13033.

Η παράταση της χρήσης του 13033 και ο μεγάλος όγκος των δεδομένων των πολιτών που επεξεργάζονται καθημερινά μέσω του αριθμού αυτού καθιστούν επιτακτική την ανάγκη προστασίας των δεδομένων αυτών.

Η επεξεργασία των δεδομένων από το 13033 αφορά όλους τους πολίτες που κινούνται εντός της Ελληνικής Επικράτειας και πρέπει να προστατεύεται από την Πολιτεία.