Αίτημα γνωμοδότησης προς την Αρχή Προστασίας Δεδομένων για το 13033

Σήμερα, 9 Δεκεμβρίου 2020, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σχετικά με τη χρήση του ειδικού αριθμού 13033 και την επεξεργασία προσωπικών δεδομένων όλων των πολιτών που κινούνται εντός της ελληνικής επικράτειας στο πλαίσιο της αποστολής μηνυμάτων στον αριθμό αυτό.

Δεδομένης:

Είναι επιτακτική η άμεση έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σύμφωνα με τις αρμοδιότητές της.

Το πλήρες κείμενο του αιτήματος της Homo Digitalis είναι διαθέσιμο εδώ.


H Homo Digitalis στο Inside Story για το Smart Policing

Την Τετάρτη 12 Αυγούστου 2020 δημοσιεύθηκε άρθρο της δημοσιογράφου Ελευθερίας Τσαλίκη στο Inside Story με τίτλο “Smart Policing: Θα φέρει η Έξυπνη Αστυνόμευση την αναγνώριση προσώπων στην Ελλάδα;

Στο άρθρο της, η δημοσιογράφος αναλύει ιδιαίτερα τη σύμβαση μεταξύ Ελληνικής Αστυνομίας και Intracom Telecom για την ανάπτυξη και χρήση εφαρμογής αναγνώρισης προσώπου από τα όργανα της Ελληνικής Αστυνομίας.

Ο συνιδρυτής της Homo Digitalis, Κωνσταντίνος Κακαβούλης, μίλησε στη δημοσιογράφο για τα προβλήματα που ανακύπτουν και τους λόγους που καθιστούν τη χρήση της συγκεκριμένης τεχνολογίας ιδιαίτερα δύσκολη την παρούσα στιγμή.

Παράλληλα ο κ. Γεώργιος Ρουσόπουλος, ειδικός επιστήμονας-ελεγκτής της ΑΠΔΠΧ και Δρ Μηχανικός Η/Υ και Πληροφορικής, ανέλυσε τη θέση της Αρχής Προστασίας Δεδομένων στο θέμα. Σύμφωνα με τον κ. Ρουσόπουλο, η ΑΠΔΠΧ εξετάζει τη σύμβαση κατόπιν του αιτήματος της Homo Digitalis.

Ευχαριστούμε θερμά τη δημοσιογράφο Ελευθερία Τσαλίκη και το Inside Story για το ενδιαφέρον τους στις απόψεις και τις δράσεις της Homo Digitalis.


Το Δικαστήριο της ΕΕ ακύρωσε την Privacy Shield

Επιμέλεια: Αντιγόνη Λογοθέτη, Κωνσταντίνος Κακαβούλης

Το ΔΕΕ ακύρωσε σήμερα την απόφαση “Privacy Shield” στην υπόθεση της Επιτήρησης από τις ΗΠΑ. Οι τυποποιημένες συμβατικές ρήτρες (“SCCs”) δεν μπορούν να χρησιμοποιηθούν από το Facebook και παρόμοιες εταιρείες.

Το Facebook και παρόμοιες εταιρείες δεν θα μπορούν να χρησιμοποιούν τις τυποποιημένες συμβατικές ρήτρες για τη μεταφορά δεδομένων εφόσον η Αρχή Προστασίας Δεδομένων πρέπει να σταματήσει τις μεταφορές δεδομένων που εκτελούνται με αυτό το εργαλείο. Ο Maximilian Schrems (πρόεδρος της noyb.eu και διάδικος στην υπόθεση) δήλωσε:

«Χρειαζόμαστε μεταρρύθμιση της επιτήρησης που γίνεται από τις ΗΠΑ. Το Δικαστήριο διευκρίνισε ότι δεν μπορεί να πραγματοποιηθεί καμία μεταφορά δεδομένων κατά παράβαση του δικαίου της ΕΕ.»

Η πρώτη αντίδραση του Max Schrems στην απόφαση:

«Είμαι πολύ χαρούμενος για την απόφαση. Φαίνεται ότι το Δικαστήριο μας ακολούθησε σε όλες τις πτυχές. Αυτό αποτελεί σοβαρό πλήγμα για τον Ιρλανδό Επίτροπο Προστασίας Δεδομένων και το Facebook. Είναι σαφές ότι οι ΗΠΑ θα πρέπει να προβούν σε ουσιώδεις αλλαγές της νομοθεσίας τους σχετικά με την επιτήρηση, εάν οι αμερικανικές εταιρείες θέλουν να συνεχίσουν να παίζουν καθοριστικό ρόλο στην αγορά της ΕΕ.

Η μεταρρύθμιση της επιτήρησης από τις ΗΠΑ είναι αναπόφευκτη – το ΔΕΕ το εκφράζει φωναχτά

Το Δικαστήριο ήταν σαφές ότι οι εκτεταμένοι νόμοι των ΗΠΑ περί επιτήρησης έρχονται σε σύγκρουση με τα θεμελιώδη δικαιώματα της ΕΕ. Το νομικό πλαίσιο των ΗΠΑ παρέχει προστασία σε «άτομα των ΗΠΑ», αλλά δεν προστατεύει δεδομένα ξένων πελατών εταιρειών των ΗΠΑ από την Εθνική Υπηρεσία Ασφάλειας. Δεδομένου ότι δεν υπάρχει τρόπος να ανακαλύψεις ότι εσύ ή η επιχείρησή σου είναι υπό επιτήρηση, δεν έχεις επίσης την επιλογή να καταφύγεις στα δικαστήρια. Το ΔΕΕ διαπίστωσε παραβίαση της «ουσίας» συγκεκριμένων θεμελιωδών δικαιωμάτων της ΕΕ.

Σύμφωνα με τον Schrems: «Το Δικαστήριο διευκρίνισε για δεύτερη φορά τώρα ότι υπάρχει σύγκρουση μεταξύ του Ευρωπαϊκού δικαίου περί προστασίας της ιδιωτικής ζωής και του Αμερικανικού νόμου περί επιτήρησης. Δεδομένου ότι η ΕΕ δεν θα αλλάξει τα θεμελιώδη δικαιώματά της για να ικανοποιήσει την NSA, ο μόνος τρόπος για να ξεπεραστεί αυτή η σύγκρουση είναι οι ΗΠΑ να εισάγουν ισχυρά δικαιώματα προστασίας της ιδιωτικής ζωής για όλους τους ανθρώπους – συμπεριλαμβανομένων των αλλοδαπών. Έτσι, η μεταρρύθμιση της εποπτείας καθίσταται κρίσιμη για τα επιχειρηματικά συμφέροντα της Silicon Valley.

Αυτή η απόφαση δεν αποτελεί την αιτία του περιορισμού στις μεταφορές δεδομένων, αλλά τη συνέπεια των νόμων των ΗΠΑ περί επιτήρησης.»

Η Ευρωπαϊκή Επιτροπή ενέδωσε στις πιέσεις των ΗΠΑ

Η απόφαση καθιστά επίσης σαφές ότι η Ευρωπαϊκή Επιτροπή δεν προέβη σε ενδελεχή και ακριβή αξιολόγηση των νόμων των ΗΠΑ περί επιτήρησης υπό την Privacy Shield. Αντ’ αυτού, ενέδωσε στην πίεση των ΗΠΑ εγκρίνοντας την Privacy Shield.

Ο Herwig Hofmann, καθηγητής νομικής στο Πανεπιστήμιο του Λουξεμβούργου και ένας από τους δικηγόρους υπεράσπισης των υποθέσεων του Schrems ενώπιον του ΔΕΕ: «Το ΔΕΕ ακύρωσε τη δεύτερη απόφαση της Επιτροπής που παραβιάζει τα θεμελιώδη δικαιώματα προστασίας δεδομένων της ΕΕ. Δεν μπορεί να υπάρξει μεταφορά δεδομένων σε μια χώρα που παρουσιάζει μορφές μαζικής επιτήρησης. Εφόσον ο νόμος των ΗΠΑ δίνει στην κυβέρνησή του τις εξουσίες να συλλέξει δεδομένα της ΕΕ που διαβιβάζονται στις ΗΠΑ, τέτοια εργαλεία θα ακυρώνονται ξανά και ξανά. Η αποδοχή από την Επιτροπή των αμερικανικών νόμων περί επιτήρησης στην απόφαση για την Privacy Shield τους άφησε χωρίς υπεράσπιση

Οι Αρχές Προστασίας Δεδομένων έχουν «καθήκον να ενεργούν» – Σημαντική ενίσχυση για τον ΓΚΠΔ (GDPR)

Το Δικαστήριο επίσης διευκρίνισε ότι οι Αρχές Προστασίας Δεδομένων της ΕΕ έχουν καθήκον να ενεργούν. Το Δικαστήριο τόνισε ότι οι Αρχές «υποχρεούνται να δρουν για τη διασφάλιση της πλήρους επιβολής του ΓΚΠΔ με κάθε δέουσα επιμέλεια». Μέχρι στιγμής, πολλές Αρχές θεωρούν ότι έχουν απεριόριστη διακριτική ευχέρεια να «κάνουν τα στραβά μάτια». Το Δικαστήριο βάζει τέλος πλέον σε αυτήν την πρακτική.

Schrems: «Το Δικαστήριο δεν λέει μόνο στον Ιρλανδό Επίτροπο να κάνει τη δουλειά του μετά από επτά χρόνια αδράνειας, αλλά λέει επίσης σε όλες τις Ευρωπαϊκές Αρχές Προστασίας Δεδομένων ότι έχουν καθήκον να αναλαμβάνουν δράση και δεν μπορούν απλώς να «κάνουν τα στραβά μάτια». Πρόκειται για μια θεμελιώδη αλλαγή που υπερβαίνει τις μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ. Αρχές όπως ο Ιρλανδός Επίτροπος έχουν μέχρι στιγμής υπονομεύσει την επιτυχία του ΓΚΠΔ απλά με το να μην εξετάζουν καταγγελίες. Το Δικαστήριο είπε σαφώς στις Αρχές να προχωρήσουν και να επιβάλλουν τον νόμο.»

Οι τυποποιημένες συμβατικές ρήτρες δεν μπορούν πλέον να χρησιμοποιούνται από το Facebook και Αμερικανικές εταιρείες οι οποίες υπάγονται σε Αμερικανική επιτήρηση

Το Δικαστήριο συμμερίστηκε επίσης την άποψη του κ. Schrems ότι σε πρώτο στάδιο οι εταιρείες της ΕΕ και οι παραλήπτες δεδομένων εκτός ΕΕ πρέπει να επανεξετάσουν τη νομοθεσία στην αντίστοιχη τρίτη χώρα. Μόνο εάν δεν υπάρχει αντιφατικός νόμος μπορούν να χρησιμοποιήσουν τις τυποποιημένες συμβατικές ρήτρες.

Ως δεύτερο επίπεδο προστασίας, η σχετική Αρχή Προστασίας Δεδομένων πρέπει να χρησιμοποιήσει την «ρήτρα έκτακτης ανάγκης» που περιέχεται στις τυποποιημένες συμβατικές ρήτρες (Άρθρο 4 της Απόφασης για τις Τυποποιημένες Συμβατικές Ρήτρες). Σε περιπτώσεις νόμων των ΗΠΑ περί επιτήρησης που παραβιάζουν τις αρχές προστασίας δεδομένων της ΕΕ, οι εταιρείες δεν έλαβαν δράση.

Ο Ιρλανδός Επίτροπος αντιμάχεται αυτή την ιδέα από το 2016 με τον ψευδή ισχυρισμό ότι είχε διακριτική ευχέρεια να μην κάνει τίποτα ενόψει της μαζικής επιτήρησης από ξένες δυνάμεις. Συνοπτικά, αυτό σημαίνει ότι το Facebook δεν μπορεί πλέον να χρησιμοποιεί τις τυποποιημένες συμβατικές ρήτρες για μεταφορές δεδομένων μεταξύ ΕΕ-ΗΠΑ και εάν αυτές συνεχίσουν να παραβιάζουν το νόμο, ο Επίτροπος πρέπει να αναλάβει επείγουσα δράση – σε αντίθεση με κάποιους ισχυρισμούς στις πρώτες αντιδράσεις στην απόφαση.

Schrems: «Η απόφαση καθιστά σαφές ότι οι εταιρείες δεν μπορούν απλώς να υπογράφουν τις τυποποιημένες συμβατικές ρήτρες, αλλά πρέπει επίσης να ελέγχουν εάν αυτές μπορούν να τηρηθούν στην πράξη. Σε περιπτώσεις όπως το Facebook, όπου δεν γινόταν ο σχετικός έλεγχος, ο Επίτροπος είχε τη λύση για αυτήν την υπόθεση στα χέρια του όλον αυτόν τον καιρό. Θα μπορούσε να δώσει εντολή στο Facebook να σταματήσει τις μεταφορές χρόνια πριν. Στην καταγγελία μας, ζητήσαμε να εκδώσει μια ειδοποίηση απαγόρευσης με εύλογη περίοδο εφαρμογής ώστε να επιτρέψει στο Facebook να λάβει όλα τα απαραίτητα μέτρα. Αντ’ αυτού, στράφηκε στο ΔΕΕ για να ακυρώσει τις τυποποιημένες συμβατικές ρήτρες, οι οποίες είναι έγκυρες. Είναι σαν να ουρλιάζεις για να καλέσεις την Ευρωπαϊκή πυροσβεστική υπηρεσία, επειδή απλά δεν θες να σβήσεις ένα κερί μόνος σου.»

Οι χρήστες πρέπει να ενωθούν. Ένας φοιτητής νομικής δεν μπορεί να τα καταφέρει μόνος του

Το γεγονός ότι αυτή η υπόθεση έχει συνεχιστεί για 7 χρόνια και ο Επίτροπος μόνο έχει δαπανήσει σχεδόν 3 εκατομμύρια ευρώ για να καταπολεμήσει την καταγγελία του κ. Schrems αντί να λάβει αποφασιστική δράση για την προστασία των δικαιωμάτων των Ευρωπαίων, δείχνει επίσης κάποια θεμελιώδη ελαττώματα στο σύστημα επιβολής του ΓΚΠΔ. Προς το παρόν, είναι αδύνατο για ένα μέσο άτομο να διασφαλίσει ότι τα δικαιώματα του βάσει του ΓΚΠΔ δεν είναι απλώς μια κενή υπόσχεση, αλλά αντίθετα γίνονται ένα κανονικό κομμάτι της ψηφιακής μας ζωής.

Schrems: «Ο Επίτροπος έχει επενδύσει 2,9 εκατ. ευρώ εναντίον μας – και στην ουσία έχασε. Δεν θέλω καν να μάθω πόσα εκατομμύρια ξόδεψε το Facebook σε αυτήν την υπόθεση. Οι οικονομικές επιπτώσεις αυτής της υπόθεσης θα αποφασιστούν τώρα από τα Ιρλανδικά Δικαστήρια. Σύμφωνα με τη νομοθεσία της ΕΕ, πρέπει να υπάρχει δωρεάν και γρήγορος χειρισμός της καταγγελίας ενός πολίτη. Ωστόσο, σε αυτήν την περίπτωση, βρισκόμαστε στα δικαστήρια για 7 χρόνια με περισσότερες από 45.000 σελίδες υποβληθέντων εγγράφων. Ο μύθος ότι ένας φοιτητής νομικής μπορεί απλά να κάνει κάτι τέτοιο μόνος του είναι δυστυχώς λάθος

Οι “απαραίτητες” μεταφορές δεδομένων προς τις ΗΠΑ μπορούν να συνεχιστούν

Παρά την ακυρωτική εξουσία της απόφασης, οι απολύτως «απαραίτητες» μεταφορές δεδομένων μπορούν να συνεχίσουν να διεξάγονται σύμφωνα με το Άρθρο 49 του ΓΚΠΔ. Οποιαδήποτε κατάσταση όπου οι χρήστες θέλουν τα δεδομένα τους να μεταφέρονται στο εξωτερικό εξακολουθούν να είναι νόμιμες, καθώς αυτό μπορεί να βασίζεται στην ενημερωμένη συγκατάθεση του χρήστη, η οποία μπορεί να ανακληθεί ανά πάσα στιγμή. Ομοίως, ο νόμος επιτρέπει μεταφορές δεδομένων για ό, τι είναι «απαραίτητο» για την εκπλήρωση μιας σύμβασης. Αυτή είναι μια σταθερή βάση για τις περισσότερες νομικές συναλλαγές με τις ΗΠΑ. Με απλά λόγια: οι ΗΠΑ έχουν πλέον επανέλθει στην «κανονική» κατάσταση που έχει η ΕΕ με τις περισσότερες άλλες τρίτες χώρες, αλλά έχασε την ειδική της πρόσβαση στην αγορά της ΕΕ λόγω της επιτήρησης από τις ΗΠΑ.

Schrems: «Το Δικαστήριο υπογράμμισε ρητά ότι η ακύρωση της Privacy Shield δεν θα δημιουργήσει «νομικό κενό» καθώς απολύτως απαραίτητες μεταφορές δεδομένων θα μπορούν να συνεχίσουν να πραγματοποιούνται. Οι ΗΠΑ τώρα απλώς επανατοποθετούνται στη θέση μιας μέσης χώρας χωρίς ειδική πρόσβαση σε δεδομένα της ΕΕ.»

Το ιστορικό της υπόθεσης

Ας πάρουμε όμως τα πράγματα από την αρχή για να δούμε πώς φτάσαμε στη σημερινή απόφαση.

Το πρόβλημα: Το νομικό πλαίσιο παρακολούθησης των ΗΠΑ

Το 2013 ο Edward Snowden δημοσιοποίησε ότι οι Μυστικές Υπηρεσίες των ΗΠΑ έχουν πρόσβαση σε προσωπικά δεδομένα Ευρωπαίων πολιτών μέσω προγραμμάτων παρακολούθησης, όπως το PRISM και το Upstream. Μάλιστα, το νομικό πλαίσιο των ΗΠΑ επέτρεπε την πρόσβαση αυτή και την παρακολούθηση, κυρίως μέσω ενός νόμου που είναι γνωστός ως Foreign Intelligence Services Act (FISA) 702.

Ο FISA 702 ψηφίστηκε το 2008. Ταυτόχρονα, μεγάλες αμερικάνικες εταιρείες ηλεκτρονικών επικοινωνιών (Apple, Microsoft, Facebook, Google, Yahoo) άρχισαν να συλλέγουν ολοένα και περισσότερα δεδομένα για χρήστες. Η συλλογή προσωπικών δεδομένων τόσο από τις Αμερικανικές Μυστικές Υπηρεσίες όσο και από τις αμερικανικές εταιρείες δημιούργησε μεγάλα προβλήματα για την ιδιωτικότητα των Ευρωπαίων πολιτών.

Τα έγγραφα που δημοσίευσε ο Edward Snowden αποκάλυψαν τη διαβίβαση προσωπικών δεδομένων στην κυβέρνηση των ΗΠΑ από τις ανωτέρω εταιρείες.

Ο GDPR και το δικαίωμα στην ιδιωτική ζωή στην ΕΕ

Στον αντίποδα, στην ΕΕ το δικαίωμα στην ιδιωτική ζωή κατέχει πρωτεύοντα ρόλο και αναγνωρίζεται στην Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων. Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) βασίζεται στην αντίληψη της ελεύθερης διακίνησης προσωπικών δεδομένων, αλλά μόνο σε ένα πλαίσιο που σέβεται την ιδιωτικότητα των χρηστών.

Αν τα προσωπικά δεδομένα των Ευρωπαίων πολιτών προστατεύονταν μόνο εντός της Ευρωπαϊκής Ένωσης, αλλά μπορούσαν να διαβιβαστούν και να διακινηθούν εκτός ΕΕ χωρίς περιορισμούς, τότε το υψηλό επίπεδο προστασίας θα καταστρατηγούνταν πολύ εύκολα.

Υπόθεση “Schrems I”

Μετά τις αποκαλύψεις του Snowden, ο Maximilian Schrems, Αυστριακός τότε φοιτητής νομικής, υπέβαλε καταγγελία κατά της Facebook Ireland Ltd ενώπιον της Ιρλανδικής Αρχής Προστασίας Δεδομένων. Ισχυρίστηκε ότι τα δεδομένα του δεν έπρεπε να αποστέλλονται από την Facebook Ireland ltd στην Facebook Inc. (την αμερικανική μαμά εταιρεία), καθώς η τελευταία υποχρεούται να δίνει πρόσβαση στις Αμερικανικές Μυστικές Υπηρεσίες, σύμφωνα με την απόφαση Safe Harbor μεταξύ ΕΕ και ΗΠΑ.

Η υπόθεση έφτασε στο Δικαστήριο της Ευρωπαϊκής Ένωσης, το οποίο στις 6 Οκτωβρίου 2015 εξέδωσε μία ρηξικέλευθη απόφαση, κρίνοντας την απόφαση Safe Harbor άκυρη. Το Δικαστήριο υποστήριξε ότι μία τρίτη χώρα, όπως οι ΗΠΑ, πρέπει να προσφέρει ένα “ουσιωδώς ισοδύναμο” επίπεδο προστασίας με αυτό της ΕΕ.

Υπόθεση “Schrems II”

Μετά την έκδοση της απόφασης του Δικαστηρίου της ΕΕ, ο Schrems ενημερώθηκε από την Ιρλανδική Αρχή Προστασίας Δεδομένων ότι η Facebook δε βασιζόταν στη συμφωνία “Safe Harbor” για τη διαβίβαση των δεδομένων του στις ΗΠΑ, αλλά στις λεγόμενες “Τυποποιημένες Συμβατικές Ρήτρες”.

Μετά από αυτή την εξέλιξη, ο Schrems υπέβαλε νέα καταγγελία, η οποία περιλαμβάνει τις Τυποποιημένες Συμβατικές Ρήτρες και κάθε άλλη πιθανή νομική βάση για τη μεταφορά δεδομένων, στην οποία θα μπορούσε να βασιστεί η Facebook.

Ο Schrems ισχυρίστηκε ότι η Ιρλανδική Αρχή Προστασίας Δεδομένων θα έπρεπε να διακόψει τις μεταφορές με βάση το άρθρο 4 των Τυποποιημένων Συμβατικών Ρητρών, δεδομένης της παραβίασης θεμελιωδών δικαιωμάτων των χρηστών.

Η Ιρλανδική Αρχή Προστασίας Δεδομένων, αντί να εκδώσει σχετική απόφαση, στράφηκε νομικά κατά της Facebook Ireland Ltd και του Maximilian Schrems.

Η υπόθεση έφτασε ξανά ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης, το οποίο εξέδωσε απόφαση σήμερα, 16 Ιουλίου 2020.


Ας αντιληφθούμε τα όρια της ελευθερίας μας!

Γράφει η Χριστιάννα Ανδρέου*

Καθημερινά ερχόμαστε ολοένα και περισσότερο σε επαφή με τη λεγόμενη “ψηφιακή επανάσταση”, καθώς η χρήση της ψηφιακής τεχνολογίας έχει γενικευθεί σε τέτοιο βαθμό που έχει παραμερίσει τους παραδοσιακούς τρόπους επεξεργασίας πληροφοριών.

Τρανταχτό παράδειγμα αυτής της γενίκευσης αποτελεί η χρήση της τεχνολογίας μέσα στο χάος της πανδημίας, καθώς η  ψηφιακή διακυβέρνηση αναβαθμίστηκε με πλήθος πρωτοβουλιών προς διευκόλυνση της καθημερινότητας από το σπίτι. Έννοιες όπως τηλεργασία μπήκαν για τα καλά στη ζωή μας. Όλα πλέον είναι εφικτά με ένα κλικ.

Μέσω του διαδικτύου μας δίνεται η δυνατότητα να βλέπουμε εικόνες και να ακούμε ήχους μετασχηματισμένους στη γλώσσα της ψηφιακής τεχνολογίας, να επεξεργαζόμαστε, να αποθηκεύουμε, να αναπαράγουμε, να μεταβιβάζουμε πληροφορίες για την εργασία μας, για διασκέδαση, για επικοινωνία, για να απολαμβάνουμε έναν μεγάλο όγκο παρεχόμενων υπηρεσιών και φυσικά με μηδενικούς χωροχρονικούς περιορισμούς!

Αντιπροσωπευτικό παράδειγμα της κατάργησης των περιορισμών είναι η δυνατότητα εν μέσω της πανδημίας να πραγματοποιούνται επιτυχώς video conferences με συναδέλφους ή συνεργάτες σε όλο το κόσμο εντελώς δωρεάν από την άνεση του σπιτιού μας. Ταυτόχρονα, μπορούμε να επικοινωνούμε με φίλους, συγγενείς, γνωστούς, να απολαμβάνουμε νέα ή παλαιότερα έργα καλλιτεχνικής δημιουργίας.

Η έκφρασή μας τώρα περισσότερο από ποτέ έχει μεταφερθεί από τον πραγματικό κόσμο στο ψηφιακό περιβάλλον.

Ποικιλόμορφος όγκος πληροφοριών, απειρία χρηστών, τηλεπικοινωνιακά δίκτυα: τρεις βασικοί λόγοι που καθιστούν δύσκολη την επιβολή ορίων στην έκφραση μέσα στο χαοτικό διαδίκτυο∙ «Το διαδίκτυο υπήρξε μια επανάσταση, τόσο για τη λογοκρισία όσο και για την ελεύθερη έκφραση», έγραψε ο Τζο Γκλάνβιλ, και είχε δίκιο.

Στην Υπόθεση Cengiz and Others v. Turkey, το Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ) αναγνώρισε ότι το διαδίκτυο έγινε ένα από τα βασικά μέσα άσκησης του δικαιώματος της ελευθερίας της έκφρασης μέσω της λήψης και της μετάδοσης πληροφοριών και ιδεών, παρέχοντας συγκεκριμένα εργαλεία που διευκολύνουν τη συμμετοχή σε δράσεις και συζητήσεις πολιτικού και γενικότερου περιεχομένου. Επίσης, η δυνατότητα έκφρασης των χρηστών μέσω περιεχομένου που “γεννούν” οι ίδιοι (user generated content) καθιστά το διαδίκτυο μια πλατφόρμα με πρωτοφανείς δυνατότητες άσκησης του δικαιώματος της ελευθερίας της έκφρασης.

Η εκφορά της γνώμης είναι συστατικό στοιχείο της προσωπικότητας και καθοριστικό μέσο επικοινωνίας. “Ελευθερία του λόγου” σημαίνει ότι ο καθένας από εμάς ξεχωριστά ή από κοινού με άλλους, μπορεί να εκφράζει απόψεις, ιδέες και σκέψεις χωρίς να τον βαραίνει ο φόβος της αντίρρησης, της λογοκρισίας, ή ακόμα περισσότερο, της νομικής κύρωσης.

Ως συνώνυμη με την ελευθερία λόγου, χρησιμοποιείται και η ελευθερία έκφρασης, μόνο που αυτή περιλαμβάνει επιπροσθέτως και κάθε πράξη αναζήτησης, απόκτησης και μετάδοσης των πληροφοριών. Στο ελληνικό Σύνταγμα, κατοχυρώνεται στο άρθρο 14 το δικαίωμα έκφρασης, διαδόσεως των στοχασμών προφορικώς, εγγράφως και δια του Τύπου, όχι μόνο του έντυπου, αλλά και του διαδικτυακού Τύπου. Ιδέες, γεγονότα, απόψεις, μηνύματα και εν γένει κάθε τρόπος έκφρασης ιδεών και συναισθημάτων προστατεύεται από το άρθρο 14 του Συντάγματος και από το άρθρο 10 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου.

Στην ελευθερία της γνώμης εντάσσεται και η ελευθερία της πληροφόρησης στην ενεργητική και την παθητική της μορφή, η οποία απορρέει από το άρθρο 14 και το άρθρο 5 παρ.1 περί ανάπτυξης της προσωπικότητας.

Το 2001 προστέθηκε το άρθρο 5Α που κατοχυρώνει το «δικαίωμα συμμετοχής στη Κοινωνία της Πληροφορίας». Στην παράγραφο 1 καθιερώνεται ένα γενικότερο «δικαίωμα στην πληροφόρηση». Όπως και σε όλα τα λοιπά κατοχυρωμένα συνταγματικά δικαιώματα, έτσι και κατά την ενάσκηση αυτού του δικαιώματος στον ψηφιακό κόσμο προηγείται ο άνθρωπος ως αξία.

Αυτό σημαίνει ότι κατά την άσκηση των δικαιωμάτων που είναι συνυφασμένα με την απόλαυση του διαδικτύου, θα πρέπει να γίνονται σεβαστά από τους χρήστες άλλα δικαιώματα που τυχόν συγκρούονται με αυτό, όπως π.χ. η προστασία προσωπικότητας, της οικογενειακής ζωής και του ιδιωτικού βίου, η προστασία της αξιοπρέπειας ή της τιμής, τα προσωπικά δεδομένα άλλων χρηστών, η παιδική ηλικία, τα συνυφασμένα με την εργασία απόρρητα, όπως το ιατρικό, το δικηγορικό ή το φορολογικό, το δικαίωμα των εργοδοτών να διαφυλάττουν τα επαγγελματικά τους συμφέροντα, ακόμα και υπέρτερα του ατόμου δικαιώματα, όπως είναι η δημόσια τάξη  και ασφάλεια.

Είναι προφανές ότι ένας καθολικός μηχανισμός ελέγχου των αναρτώμενων απόψεων και εκφράσεων δεν μπορεί πολύ αποτελεσματικά να κατασκευαστεί. Άλλωστε, όλες οι διατυπωμένες απόψεις μπορεί να “κριθούν”, εάν θίγουν εμμέσως ή αμέσως, το δικαίωμα άλλου.

Το ΕΔΔΑ έχει κληθεί σε πολλές περιπτώσεις να κρίνει αν η ελευθερία έκφρασης κάποιου προσώπου έρχεται σε σύγκρουση με το δικαίωμα άλλου προσώπου. Ας δούμε αναλυτικότερα κάποιες από τις πιο ενδιαφέρουσες περιπτώσεις.

Σύγκρουση ελευθερίας έκφρασης με επαγγελματικά συμφέροντα

Στην υπόθεση Herbai v. Hungary, ο προσφεύγων στα δικαστήρια της Ουγγαρίας και σε μεταγενέστερο στάδιο στο ΕΔΔΑ, απολύθηκε από την Τράπεζα που εργαζόταν καθώς είχε κατασκευάσει website παροχής επαγγελματικών συμβουλών στον τομέα διαχείρισης ανθρώπινου δυναμικού (HR), στο οποίο παρουσιαζόταν και ως “expert”. Ο εργοδότης θεώρησε πως η συμπεριφορά αυτή έθιγε τα επαγγελματικά του συμφέροντα, καθώς οι γνώσεις του προσφεύγοντος είχαν αποκτηθεί αποκλειστικά στο εργασιακό περιβάλλον της Τράπεζας, και ότι έτσι διέρρεαν πολιτικές διαχείρισης της μέσω του διαδικτύου. Ο προσφέυγων ισχυρίστηκε ότι το website και τα άρθρα των οποίων ήταν συντάκτης αποτελούσαν πτυχή του δικαιώματός του στην ελευθερία της έκφρασης. Το ΕΔΔΑ κατέληξε ότι δεν έγινε δίκαιη ισορροπία ανάμεσα στα δύο δικαιώματα – αναγνώρισε όμως το ότι ο προσφεύγων άσκησε το δικαίωμά του στην ελευθερία της έκφρασης.

Σύγκρουση ελευθερίας έκφρασης με το δικαίωμα προστασίας της οικογενειακής ζωής

Εξαιρετικά ευαίσθητος χώρος και άξιος προστασίας είναι αυτός του οικογενειακού βίου και της οικογενειακής ζωής. Στην Υπόθεση Rolf Anders Daniel Pihl v. Sweden, αναγνωρίστηκε από το ΕΔΔΑ ότι τα εθνικά δικαστήρια τήρησαν δίκαιη ισορροπία. Ο προσφεύγων κατηγορήθηκε ότι ήταν μέλος ναζιστικού κόμματος από ανώνυμο σχόλιο που αναρτήθηκε στο website μιας Μη Κυβερνητικής Οργάνωσης. Τα σουηδικά δικαστήρια έκριναν ότι οι ιδιοκτήτες της διαδικτυακής πύλης δεν ήταν υπεύθυνοι για την ανάρτηση των ανωνύμων σχολίων, και ότι τα σχόλια αν και προσβλητικά δεν αποτελούσαν, όμως, ρητορική μίσους ή υποκίνηση βίας.

“Δεν φοβάμαι τους ηλεκτρονικούς υπολογιστές. Φοβάμαι την έλλειψή τους”, είπε ο Isaac Asimov. Έχουμε αλήθεια φανταστεί πως θα ήταν η ζωή μας χωρίς αυτούς; Πώς το τόσο εύκολο θα γινόταν πολύ πιο δύσκολο; Αφού μας δόθηκε τόσο απλόχερα αυτός ο αχανής κόσμος, ας τον χρησιμοποιούμε όσο μπορούμε περισσότερο, αλλά με σύνεση. Είμαστε ελεύθεροι να δημοσιεύουμε τη ζωή μας, τις σκέψεις μας, τα συναισθήματα μας. Να αναρτούμε άρθρα, ακόμα και ολόκληρα βιβλία προκειμένου να τα δει, να τα επεξεργαστεί και να τα μεταδώσει άγνωστος αριθμός χρηστών. Τη στιγμή που ασκούμε το δικαίωμά μας, όμως, κάποιο άλλο δικαίωμα, κάποιου άλλου σαν εμάς, μπορεί να θίγεται. Πριν το κάθε μας διαδικτυακό “share”, πριν πατήσουμε το κλικ, ας σκεφτούμε μια ακόμη φορά αν έχουμε προσβάλει κάποια ευαίσθητη πτυχή της ζωής ενός άλλου προσώπου, φυσικού ή νομικού. Σε έναν χώρο όπου οι κανόνες δεν έχουν αναπτύξει ακόμα πλήρως την ρυθμιστική τους ικανότητα, σε έναν χώρο τόσο αχανή και απροσδιόριστο για τον κοινό νου, ας γίνουμε πιο ευσυνείδητοι χρήστες!

*H Χριστιάννα Ανδρέου είναι απόφοιτη της Νομικής Σχολής Αθηνών, ασκούμενη δικηγόρος με τομείς ενδιαφέροντος το Ποινικό Δίκαιο, και συγκεκριμένα το Ηλεκτρονικό και Οικονομικό Έγκλημα και τη προστασία των Ανθρωπίνων Δικαιωμάτων στο διαδίκτυο.


Ψηφιακή αναγνώριση προσώπου: μια διεθνής χαρτογράφηση

Γράφει ο Νικόδημος Καλλιντέρης*

Ας σκεφτούμε το εξής σενάριο:

περιδιαβαίνοντας μια καθημερινή ειρηνική ημέρα τον αστικό ιστό, αστυνομικές αρχές που είναι τοποθετημένες ανά οικοδομικό τετράγωνο μας ζητούν επιτακτικά την επίδειξη του δελτίου ταυτότητάς μας για την εξακρίβωση των στοιχείων μας, προκειμένου να έχουμε την δυνατότητα να κινηθούμε μέσα στην πόλη. Ανά λίγες δεκάδες μέτρα διενεργείται έλεγχος… 

Αναμφίβολα μια τέτοια τακτική θα εξέγειρε εκτεταμένες (και δικαίως) αντιδράσεις από ενώσεις πολιτών και ακτιβιστές που προασπίζονται τα ανθρώπινα δικαιώματα και τις ελευθερίες, ενώ ίσως θα προκαλoύσε οξύτατη πολιτικοϊδεολογική αντιπαράθεση με κύριο διακύβευμα τα περί «αστυνομικού κράτους», «κράτους πρόληψης», «κράτους ασφάλειας».

Τι θα λέγαμε, όμως, αν διαπιστώναμε ότι ακριβώς το ίδιο συμβαίνει πολύ πιο αθόρυβα, αόρατα και εξ αποστάσεως, μακράν πιο αποτελεσματικά και με άπειρες μη αντιληπτές εν πρώτοις επιπτώσεις για την ελευθερία του προσώπου;

Ο λόγος περί της ψηφιακής αναγνώρισης προσώπου (facial recognition), μιας τεχνολογίας, που ναι μεν ξεκίνησε πειραματικά από την δεκαετία του ’60, πλην όμως τα τελευταία δέκα περίπου χρόνια έχει διεισδύσει σε πάμπολες πτυχές των καθημερινών μας δραστηριοτήτων: από το ξεκλείδωμα του υπολογιστή και του «έξυπνου» τηλεφώνου μας, τα μέσα κοινωνικής δικτύωσης και την εύρεση αγνοουμένων προσώπων έως τον έλεγχο κατά την είσοδο στον εργασιακό χώρο, την αστυνόμευση σε αεροδρόμια και λοιπούς δημοσίους χώρους και την πρόσβαση στον τραπεζικό μας λογαριασμό.

Η λειτουργία αυτής της ψηφιακής τεχνολογίας έχει να κάνει με τον υπολογισμό μέσω βιντεοκαμερών (CCTV) της γεωμετρίας του ανθρωπίνου προσώπου, καθώς σε ασύλληπτες ταχύτητες και με την χρήση αλγορίθμων υπολογίζεται η απόσταση μεταξύ των ματιών, το μήκος του μετώπου ή το σχήμα της κάτω γνάθου για την δημιουργία μιας μοναδικής ψηφιακής ταυτότητας προσώπου, η οποία με την σειρά της αντιπαραβάλλεται με αντίστοιχες ταυτότητες αποθηκευμένες σε βάσεις δεδομένων.

Πρόσφατη, εξαιρετικής σημασίας έρευνα, χαρτογραφεί την εφαρμογή της εν λόγω τεχνολογίας σε παγκόσμια κλίμακα. Ως προς την χρήση της λοιπόν από τους κρατικούς μηχανισμούς, και δη από τις αρχές επιβολής της τάξης, η ψηφιακή αναγνώριση προσώπου σε τακτική βάση αφορά το ήμισυ του παγκόσμιου πληθυσμού. Πιο συγκεκριμένα, ήδη 98 χώρες έχουν θέσει σε λειτουργία κάμερες που ενσωματώνουν και την ψηφιακή αναγνώριση προσώπου, ενώ σε άλλες 12 η χρήση της έχει εγκριθεί και αναμένεται η πρακτική της εφαρμογή.

Στις Η.Π.Α. ήδη από το 2016 έρευνα έχει καταδείξει ότι οι μισοί ενήλικες πολίτες  έχουν καταγραφεί σε κάποιο δίκτυο ψηφιακής αναγνώρισης προσώπου, ενώ το Υπουργείο Εσωτερικής Ασφαλείας (Department of Homeland Security) εντός του 2019 ανακοίνωσε ότι σκοπεύει έως το 2023 να καταγράφει τα πρόσωπα των επιβατών στα αεροπλάνα, σχεδόν στην ολότητά τους (97%). Στατιστική μελέτη του Pew Research Center από την άλλη έχει αναδείξει ότι το 59% των αμερικανών πολιτών αποδέχονται την χρήση της ψηφιακής αναγνώρισης προσώπου στο πλαίσιο της ασφάλειας και της αντεγκληματικής πολιτικής. Νοτιότερα στο σύνολο των κρατών της Νότιας Αμερικής η χρήση της τεχνολογίας αγγίζει το 92%, καθώς συνδέθηκε με μεγάλες αστυνομικές επιτυχίες, όπως την σύλληψη ενός από τους πλέον καταζητούμενους εγκληματίες στην Βραζιλία.

Στην Μέση Ανατολή καθώς και στην κεντρική και ανατολική Ασία η κατάσταση, κατά την έρευνα, είναι αντίστοιχη με το πρόσθετο χαρακτηριστικό ότι εδώ η εφαρμογή της τεχνολογίας λαμβάνει χώρα και για λόγους εθνικής άμυνας λόγω ορισμένων ανοιχτών εμπόλεμων ζωνών.

Η Κίνα, πρωτοπόρος στις σύγχρονες ψηφιακές τεχνολογίες, διαθέτει πλέον εγκατεστημένη μία κάμερα κλειστού κυκλώματος για κάθε 12 πολίτες της, ενώ χώρες, όπως η Σιγκαπούρη, η Ταϊβάν και η Νότια Κορέα καυχώνται για την επιτυχημένη χρήση της τεχνολογίας στην αντιμετώπιση της πανδημίας του κορωνοϊού και την επιβολή των μέτρων κοινωνικής αποστασιοποίησης και καραντίνας.

Στον αντίποδα των ανωτέρω βρίσκεται η αφρικανική ήπειρος, όπου προς το παρόν η ψηφιακή αναγνώριση προσώπου λειτουργεί μόνο στο 20% των κρατών της στα οποία έχει αναπτύξει δραστηριότητες ο κινεζικός ψηφιακός κολοσσός της Huawei. Στην Τανζανία πάντως αυτήν την στιγμή πραγματοποιούνται πειράματα για χρήση της τεχνολογίας για την ταυτοποίηση σκύλων που έχουν εμβολιαστεί για λύσσα, ενώ η Κένυα ισχυρίζεται ότι περιόρισε σχεδόν στο μισό την εγκληματικότητά της λόγω της ψηφιακής αναγνώρισης προσώπου. Δεδομένων των ραγδαίων πάντως εξελίξεων και την ταχύτατη διείσδυση των παγκόσμιων ψηφιακών εταιρειών στην Αφρική, πολύ σύντομα η εφαρμογή της τεχνολογίας από τα κράτη θα επεκταθεί σε ανάλογα ποσοστά με την Αμερική και την Ασία.

Στον ευρωπαϊκό χώρο, που διαθέτει μια παράδοση στην προστασία της ιδιωτικότητας και των προσωπικών δεδομένων και οι πολίτες έχουν οξυμένη ευαισθησία της κοινωνίας των πολιτών στα ζητήματα των συνταγματικών ελευθεριών, η ψηφιακή αναγνώριση προσώπου χρησιμοποιείται από 26 κράτη!

Μόνον στην γαλλική πόλη Nice υπάρχει μια βιντεοκάμερα για κάθε 342 πολίτες, ενώ -πάντα σύμφωνα με την έρευνα- χρήση της τεχνολογίας κάνει και η Ελλάδα. Μάλιστα σχετικά πρόσφατα η Homo Digitalis απηύθηνε επιστολή προς το Υπουργείο Προστασίας του Πολίτη που αφορούσε πιθανή χρήση της δυσώνυμης πλέον εφαρμογής Clearview AI από την ελληνική αστυνομία σχετικά με την οποία έχει ξεσπάσει σάλος στις Η.Π.Α. Στην επίσημη απάντηση το Υπουργείο αρνείται κατηγορηματικά την χρήση της εν λόγω αμφιλεγόμενης τεχνολογίας ψηφιακής αναγνώρισης προσώπου. Εντός του Μαΐου η European Digital Rights απέστειλε έκκληση προς τα κράτη-μέλη της ΕΕ και την Ευρωπαϊκή Επιτροπή για την απαγόρευση της ψηφιακής αναγνώρισης προσώπου και άλλων τεχνολογιών επεξεργασίας βιομετρικών δεδομένων σε δημόσιους χώρους, ενώ μέχρι στιγμής μόνο το Βέλγιο και το Λουξεμβούργο (μαζί με το Μαρόκο είναι τα μόνο τρία κράτη σε διεθνή εμβέλεια που επέβαλαν απαγόρευση) έχουν προβεί σε απαγορευτική νομοθετική ρύθμιση.

Κάπως έτσι έχει διαμορφωθεί σε διεθνές πλαίσιο η εξάπλωση της ψηφιακής αναγνώρισης προσώπου προκαλώντας αναμφίβολα έντονες ανησυχίες στις κοινωνίες. Οι δημοκρατικές ελευθερίες περιλαμβάνουν το δικαίωμα του συναθροίζεσθαι, την ελευθερία έκφρασης και το δικαίωμα του πληροφοριακού αυτοκαθορισμού τα οποία βρίσκονται στο απόσπασμα λόγω της μαζικής βιομετρικής επιτήρησης του δημόσιου χώρου. Ίσως τμήμα όσων εκφράζουν επιφυλάξεις λόγω των κινδύνων που ελλοχεύουν, αναμετρώνται και με την τεχνολογική αιτιοκρατία (ετεραρχία ή ντετερμινισμό, όπως συνηθίζεται πλέον να λέγεται) που θέλει τους τεράστιους ψηφιακούς κολοσσούς να συμπλέουν με ευρύτερα οικονομικά και πολιτικά συμφέροντα για την επέκταση των σύγχρονων δυστοπικών τεχνολογιών.

Είναι πάντως ερευνητικά αποδεδειγμένη η ανακρίβεια της τεχνολογίας αναγνώρισης προσώπου σε πολλές περιπτώσεις (π.χ. μια από τις εφαρμογές ταυτοποίησε 28 μέλη του αμερικανικού Κογκρέσου ως συλληφθέντες για ποινικά αδικήματα). Αυτό μπορεί να έχει βαρύτατες επιπτώσεις για τους θιγέντες, πολλές εκ των οποίων μη επανορθώσιμες.

Επειδή η εν λόγω τεχνολογία καθιστά εκ των προτέρων υπόπτους όλους ανεξαιρέτως, παραβιάζεται η αρχή της αναλογικότητας, η πεμπτουσία του δικαίου των ανθρωπίνων δικαιωμάτων, λόγω της αδιάκριτης ψηφιακής καταγραφής των πολιτών στο δημόσιο χώρο. Θεμελιώδεις αρχές του δικαίου των προσωπικών δεδομένων ενδέχεται να καταπατούνται, όπως η αρχή του περιορισμού του σκοπού της επεξεργασίας, η ελαχιστοποίηση των δεδομένων αλλά και η απαγόρευση ατομικής λήψης αποφάσεων και κατάρτιση ψηφιακού προφίλ βάσει αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Συνάγεται λοιπόν ότι η ψηφιακή αναγνώριση προσώπου ίσως ναρκοθετεί θεμελιώδεις αρχές της δημοκρατικής κοινωνίας.

Ο περιορισμός του δημόσιου χώρου μέσω της ψηφιακής επιτήρησης, που τείνει να εξαπλώνεται, τροποποιεί αναπόδραστα την ισορροπία ισχύος μεταξύ κράτους και κοινωνίας, η οποία διαφοροποιεί τις δημοκρατίες από τα αυταρχικά αστυνομικά κράτη. Αλλά και ειδικά το ανθρώπινο πρόσωπο, ως το «ιερό βήμα» του ανθρωπίνου σώματος, για το οποίο κάποιος στοχαστής είπε ότι αυτό εκφράζεται κάθε στιγμή, σε αντίθεση με το στόμα που επιλέγει πότε θα μιλήσει, όταν υπόκειται στους «νόμους» των αλγορίθμων και της τεχνητής νοημοσύνης είναι φυσικό να προκαλεί ανυπολόγιστους κινδύνους για την ελευθερία του προσώπου.

Είμαστε, άραγε, έτοιμοι να τους παραβλέψουμε τόσο αψήφιστα;

*O Νικόδημος Καλλιντέρης είναι νομικός με εξειδίκευση στο Δημόσιο Δίκαιο (ΜΔΕ Δημοσίου Δικαίου Νομικής ΕΚΠΑ) και Υποψήφιος Διδάκτορας Δημοσίου Δικαίου. Πεδία έρευνας και ενδιαφέροντος του αποτελούν το απόρρητο των τηλεπικοινωνιών, το Διαδίκτυο των Πραγμάτων (Internet of Things) καθώς και οι τεχνολογίες Βig Data, Machine Learning και η Tεχνητή Nοημοσύνη.


Η Homo Digitalis ξεκινά συνεργασία με το ΙΤΕ

Η Homo Digitalis ξεκινάει μία νέα, πολύ ελπιδοφόρα συνεργασία.

Ανακοινώνουμε την υπογραφή μνημονίου συνεργασίας με το μεγαλύτερο ερευνητικό ίδρυμα της Ελλάδας, το Ίδρυμα Τεχνολογίας και Έρευνας (ΙΤΕ).

Η συνεργασία αφορά στο έργο CAP-A και στην πρωτοβουλία CAPrice.

To Caprice είναι μια πρωτοβουλία του ΙΤΕ και του Εργαστηρίου Πληροφοριακών Συστημάτων, που ασχολείται με την ενημέρωση και την προστασία της ιδιωτικότητας στον ψηφιακό κόσμο.

Στόχος του CAPrice είναι μέσω μιας πλατφόρμας συνεργατικών δράσεων και της δημιουργίας μιας κοινότητας πολιτών από όλο τον κόσμο, να διαμορφωθεί ένας χώρος ενημέρωσης με μη τεχνικούς όρους, όπου ο κάθε πολίτης θα μπορεί να συμβάλλει ενεργά στη διαμόρφωση της πολιτικής ιδιωτικότητας που εξυπηρετεί καλύτερα τις δικές του προτιμήσεις.

Η πρωτοβουλία CAPrice αναπτύσσει εργαλεία που δίνουν τη δυνατότητα στους πολίτες να ενεργήσουν συλλογικά, ώστε οι προβληματισμοί και οι απαιτήσεις τους γύρω από θέματα ιδιωτικότητας να ποσοτικοποιούνται και να επιδρούν ως θετικό κίνητρο στη διαμόρφωση μιας πιο φιλικής προς την ιδιωτικότητα αγοράς. Τέτοια εργαλεία και λύσεις αναπτύσσονται στα πλαίσια του ευρωπαϊκού έργου CAP-A, που υπάγονται στην πρωτοβουλία CAPrice.

Μάθετε περισσότερα για την ιδέα του Caprice, γίνετε μέλη της πρωτοβουλίας σε ένα μόλις λεπτό και βοηθήστε και εσείς ενεργά στην προστασία της ιδιωτικότητας όλων μας!


Η αποστολή ανεπιθύμητης αλληλογραφίας (spamming)

Της Μαγδαληνής Σκόνδρα*

Η σύγχρονη αλληλογραφία δεν θα μπορούσε να μην ακολουθήσει την ψηφιακή εποχή, κατά την οποία η ταχύτητα, η ευκολία και το μηδενικό κόστος ανταλλαγής μηνυμάτων, αποτελούν τόσο θελκτικά προνόμια, που έχουν κάνει την ηλεκτρονική αλληλογραφία το δημοφιλέστερο μέσο επικοινωνίας. Η εμπορική προώθηση προϊόντων βρήκε στην ηλεκτρονική αλληλογραφία ένα άμεσο και αδάπανο εργαλείο. Όπως και κάθε άλλη πρακτική που αποκτά τέτοια απήχηση, έτσι και η ηλεκτρονική αλληλογραφία δεν θα μπορούσε να μη συνδεθεί τόσο με απλώς αθέμιτες πρακτικές, όσο και με παράνομες ενέργειες, ορισμένες εκ των οποίων είναι ακόμη και ποινικά αδικήματα.

Η λέξη SPAM, με την οποία αναφερόμαστε σύντομα στην ανωτέρω πρακτική,  προέρχεται από το εμπορικό όνομα αμερικανικού προϊόντος κρέατος σε κονσέρβα στη δεκαετία του 1960 το οποίο εισαγόταν στη Μεγάλη Βρετανία σε μεγάλες ποσότητες. Το 1970, οι Μόντυ Πάιθονς έγραψαν το σκετς Σπαμ ως μέρος της εκπομπής Το ιπτάμενο τσίρκο των Μόντυ Πάιθονς όπου μια ομάδα Βίκινγκς επαναλάμβαναν δυνατά ένα τραγούδι με μόνα λόγια το «σπαμ σπαμ σπαμ…ωραίο σπαμ…εξαίρετο σπαμ». Στη συνέχεια, στη δεκαετία του 1980 οι εταιρείες αποστολής τέτοιων μηνυμάτων τα ονόμαζαν SPAM ως ακρωνύμιο του Sales Promotion and Marketing (Προώθηση Πωλήσεων και Μάρκετινγκ) [1]. Η νομική της έννοια βέβαια, είναι διαφορετική, καθώς δεν χρειάζεται η επικοινωνία να είναι μαζική (νομικά, σπαμ μπορεί να είναι και 1 μόνο μήνυμα), αλλά το περιεχόμενο πρέπει είναι διαφημιστικό (να προωθεί προϊόντα, υπηρεσίες, απόψεις, ή γενικά την «εικόνα» αυτού που το στέλνει).

Το κοινοτικό δίκαιο[2], ορίζει ότι η χρησιμοποίηση συσκευών αυτόματων κλήσεων, φαξ, emails, κλπ.  για απευθείας εμπορική προώθηση επιτρέπεται μόνο στην περίπτωση συνδρομητών ή χρηστών οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους.

Το ελληνικό δίκαιο που ενσωμάτωσε αυτήν την κοινοτική οδηγία[3], προβλέπει το ίδιο.

Ο ελληνικός νόμος προβλέπει την προστασία προσωπικών δεδομένων και στις ηλεκτρονικές επικοινωνίες. Μάλιστα, στην έννοια του δεδομένου προσωπικού χαρακτήρα έχει κριθεί ότι εμπίπτει, και ο τηλεφωνικός αριθμός και ο λογαριασμός ηλεκτρονικού ταχυδρομείου[4] [5] [6] [7].

Η πολιτική επικοινωνία ως σπαμ

Όπως είπαμε παραπάνω, η νομική έννοια της μη νόμιμης αποστολής αζήτητης (ή αυτόκλητης) επικοινωνίας[8], προϋποθέτει την χωρίς ανθρώπινη παρέμβαση επικοινωνία που γίνεται, όμως, συγκεκριμένα, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, χωρίς προηγούμενη ρητή συγκατάθεση[9] του παραλήπτη (σύστημα opt in). Στην έννοια της εμπίπτουν όλα τα μηνύματα που υπηρετούν διαφημιστικούς σκοπούς, και τέτοιοι θεωρούνται και όσοι στοχεύουν να προωθούν δράσεις φιλανθρωπικών ιδρυμάτων ή πολιτικών κομμάτων.

Έτσι, ακόμα και η πολιτική επικοινωνία οφείλει να συμμορφώνεται με τους κανόνες που ισχύουν για το spam[10]. Η Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) έχει εκδώσει σχετική Οδηγία ήδη από το 2010[11], αλλά και νεότερη πρόσφατα, τον Απρίλιο του 2019, σχετικά με αυτό το ζήτημα[12], μετά και τη σχετική υπ΄ αριθμόν 2/2019 δήλωση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Έτσι, στις τελευταίες Ευρωεκλογές, η ΑΠΔΠΧ, με την υπ’ αριθμό 19/2019 απόφασή της, επέβαλε πρόστιμο 2.000€ για την αποστολή ενός και μόνο μηνύματος υποψηφίου ευρωβουλευτή σε δικηγόρο-ψηφοφόρο, της οποίας την ηλεκτρονική  διεύθυνση είχε συλλέξει από τους δημοσιευμένους καταλόγους στοιχείων επικοινωνίας δικηγόρων[13].

Τι σημαίνει ηλεκτρονικό ταχυδρομείο; Είναι μόνο το email?

Σύμφωνα με το νόμο[14] και με την ΑΠΔΠΧ[15], στην έννοια του ηλεκτρονικού ταχυδρομείου εντάσσονται όχι μόνο τα emails, όπως θα πίστευε κανείς, αλλά όλα τα ακόλουθα είδη μηνυμάτων:

  1. μηνύματα ηλεκτρονικού ταχυδρομείου
  2. υπηρεσίες μηνυμάτων με χρήση κινητής τηλεφωνίας (SMS, MMS)
  3. υπηρεσίες φαξ
  4. υπηρεσίες στιγμιαίων μηνυμάτων (instant messaging), π.χ. Facebook Messenger, WhatsApp, Viber, MSN, Yahoo Messenger, Google Chat, κ.ά.
  5. υπηρεσίες ηλεκτρονικής ανταλλαγής μηνυμάτων, όπως σελίδες κοινωνικής δικτύωσης, π.χ. Facebook, Twitter, LinkedIn, κ.ά.

Πότε επιτρέπονται μηνύματα ηλεκτρονικού ταχυδρομείου για προωθητικούς σκοπούς;

Μόνη εξαίρεση στον κανόνα της προηγούμενης συγκατάθεσης του παραλήπτη, προβλέπει ο νόμος[16], στην περίπτωση που αυτός που στέλνει το μήνυμα έχει αποκτήσει το τηλέφωνο ή το μέιλ του παραλήπτη, με την ευκαιρία συναλλαγής μαζί του, (π.χ. κατά την αγορά προϊόντων) χωρίς την προηγούμενη συγκατάθεσή του, υπό την προϋπόθεση ότι του δίνει την ευκαιρία να αρνηθεί ήδη από τη στιγμή που του ζητά τα στοιχεία του, αλλά και σε κάθε μήνυμα, σε περίπτωση που αρχικά δεν είχε διαφωνήσει(πχ μέσω ενός κουμπιού «απεγγραφή» ή “unsubscribe”).

Αναγκαία προϋπόθεση είναι όμως η προηγούμενη ενημέρωση του συνδρομητή-πελάτη[17]. Η ενημέρωση αυτή θα πρέπει να παρέχεται κατά τη στιγμή της συλλογής των στοιχείων επικοινωνίας -δηλαδή, την ώρα της συναλλαγής- και να περιλαμβάνει με σαφήνεια την πρόθεση χρήσης των στοιχείων επικοινωνίας του συναλλασσόμενου, συγκεκριμένα για σκοπούς προωθητικών ενεργειών.

Η πρακτική του spamming ως ευκαιρία φθηνής διαφημιστικής προβολής, αλλά και ως ευκαιρία παρανομίας

Η συλλογή στοιχείων επικοινωνίας με τη χρήση ειδικών λογισμικών, των λεγόμενων spambots, αποτελεί ποινικό αδίκημα.

Η ευκολία και το μικρό κόστος της ηλεκτρονικής επικοινωνίας, δεν θα μπορούσε να αφήσει αδιάφορες τις επιχειρήσεις, αλλά και τις διαφημιστικές εταιρίες. Διαμορφώθηκε έτσι, σταδιακά, ως παγκόσμια πρακτική,  η τάση της δημιουργίας λιστών διευθύνσεων ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικών αριθμών. «Με τη βοήθεια ειδικών λογισμικών, των λεγόμενων spambots, πραγματοποιείται εύκολα αυτοματοποιημένη σάρωση ιστοσελίδων και άλλων πηγών του Διαδικτύου, για την συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου από αυτές. Στη συνέχεια το spambot δημιουργεί λίστα των συλλεχθεισών διευθύνσεων»[18].

Τα λογισμικά αυτά συχνά χρησιμοποιούνται από hackers, για να πραγματοποιήσουν επιθέσεις με μολυσμένα μηνύματα ή κακόβουλο κώδικα σε ιστότοπους ή σε διακομιστές. Μετά την δημιουργία τέτοιων λογισμικών, οι έτοιμες λίστες διευθύνσεων που αυτά παρήγαγαν, αποτέλεσαν συχνά και προϊόν πώλησης διαφημιστικών εταιριών στο πελατολόγιο τους. Επικράτησε έτσι το παγκόσμιο φαινόμενο, κάθε επιχείρηση που ήθελε να διαφημιστεί, είτε να αγοράζει τέτοιες έτοιμες λίστες, είτε να παραγγέλλει την δημιουργία τους.

Η συλλογή στοιχείων επικοινωνίας με χρήση τέτοιων λογισμικών, αποτελεί ποινικό αδίκημα[19].

Εκτός του σπαμ, η χρήση των στοιχείων που αποκτήθηκαν με τέτοια λογισμικά, συχνά αποσκοπεί στην αποστολή κακόβουλου λογισμικού κάθε είδους, όπως ιούς, σκουλήκια, λογισμικό παρακολούθησης κλπ,  ή με σκοπό αποστολή νέων ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) προσωπικών στοιχείων, κυρίως στοιχείων ηλεκτρονικής τραπεζικής (e-banking), με απώτερο στόχο την αφαίρεση χρηματικών ποσών από λογαριασμούς[20]. Οι ενέργειες αυτές, συνδέονται άμεσα και με την αζήτητη αλληλογραφία, καθώς παρατηρείται ότι σε αρκετές  περιπτώσεις, εμφανίζονται με το μανδύα του διαφημιστικού μηνύματος, που όμως είτε υποκρύπτει κακόβουλο λογισμικό, είτε προτρέπει τους χρήστες στην γνωστοποίηση προσωπικών τους στοιχείων[21].

Νομικό πλαίσιο: Ν. 3471/2006: lex specialis σε σχέση με το Ν. 2472/1997 (και ήδη με τον GDPR και τον Ν. 4624/2019).

Ποια όμως νομοθεσία εφαρμόζεται στις περιπτώσεις αυτές; Ο Νόμος 3471/2006 που αφορά τις ηλεκτρονικές επικοινωνίες και την επεξεργασία προσωπικών δεδομένων κατά τη χρήση ηλεκτρονικών επικοινωνιών, ή η γενικότερη νομοθεσία για τα προσωπικά δεδομένα (τον παλαιότερο νόμο 2472/1997, τον GDPR και τον νέο Νόμο 4624/2019);

Το ερώτημα έχει τεράστια πρακτική σημασία, καθώς οι διαφορές των διοικητικών προστίμων που προβλέπουν τα νομοθετήματα αυτά, είναι εξαιρετικά μεγάλες.

Ρητά, ορίζεται[22] ότι ο νόμος των ηλεκτρονικών επικοινωνιών (3471/2006) συνιστά ειδικότερο νόμο (lex specialis) σε σχέση με τον γενικότερο Ν. 2472/1997[23]. Κατά τη γενική αρχή του δικαίου, ο ειδικότερος νόμος απωθεί την εφαρμογή του γενικότερου[24].

Στο παρελθόν, όμως, η σχέση γενικού προς ειδικό μεταξύ των δύο νομοθετημάτων, αποτέλεσε αντικείμενο συχνής παρανόησης στις αποφάσεις των δικαστηρίων και της ΑΠΔΠΧ[25].[26].

Οι παραπάνω διαπιστώσεις εξακολουθούν να ισχύουν και μετά την κατάργηση του Ν. 2472/1997 από το Ν. 4624/2019 και την έναρξη ισχύος του GDPR[27].

Παράλληλα, ο νέος  νόμος 4624/2019 ρητά προβλέπει ότι κάθε αναφορά στο παλιό νομοθετικό πλαίσιο νοείται πια ως αναφορά στον νέο νόμο και τον GDPR[28].

Επομένως, τα νομοθετήματα αυτά εφαρμόζονται συμπληρωματικά το ένα προς το άλλο, όπως εκτίθεται αμέσως παρακάτω.

Ποιες  κυρώσεις προβλέπονται για όποιον παραβιάζει το νόμο;

Η αποστολή αζήτητης ηλεκτρονικής αλληλογραφίας, επισύρει :

-1ον Δυνατότητα αποζημίωσης του παραλήπτη και μάλιστα ποσού τουλάχιστον 10.000€ για κάθε μήνυμα[29], με προσφυγή στα πολιτικά δικαστήρια.

-2ον Διοικητικό πρόστιμο, μεταξύ 880,00 και 146.735,00€[30], που επιβάλλεται από την ΑΠΔΠΧ, είτε αυτεπαγγέλτως, είτε κατόπιν καταγγελίας πολίτη, που υποβάλλεται ηλεκτρονικά[31]. Εάν όμως, η ΑΠΔΠΧ διαγνώσει παράλληλα και παραβίαση διατάξεων του GDPR, όπως έχουμε ήδη δει να συμβαίνει σε αποφάσεις της, το διοικητικό πρόστιμο θα ανέλθει στα δυσθεώρητα επίπεδα του GDPR (πρόστιμα έως και 20.000.000€ ή έως 4% του τζίρου). Είναι δε σχεδόν απίθανο να έχει σημειωθεί παράβαση ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και να μην έχει ταυτόχρονα παραβιαστεί κάποια από τις γενικές αρχές και υποχρεώσεις, που ρυθμίζονται από τον GDPR.

Χαρακτηριστική περίπτωση αποτέλεσε η απόφαση 34/2019[32] της ΑΠΔΠΧ, με την οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ, όταν εξαιτίας τεχνικού σφάλματος, κατέστη αδύνατη η ικανοποίηση του δικαιώματος εναντίωσης των συνδρομητών στη λήψη προωθητικών μηνυμάτων.

Συμπεράσματα

Όπως γίνεται σαφές από τα παραπάνω, η δυνατότητα αποστολής προωθητικών μηνυμάτων χωρίς προηγούμενη συγκατάθεση του παραλήπτη, ΔΕΝ είναι καταρχήν δυνατή σε άτομα με τα οποία ο αποστολέας δεν είχε καμία συναλλαγή στο παρελθόν. Ούτε βέβαια είναι νόμιμο να σταλεί ένα πρώτο μήνυμα με το οποίο να ζητείται η άδεια -συγκατάθεση του παραλήπτη, αφού ήδη και η πρώτη αυτή επικοινωνία θα έχει γίνει κατά παράβαση του ανωτέρω κανόνα.

Μόνος νόμιμος τρόπος να συλλέξει κανείς τα στοιχεία επικοινωνίας ατόμων με τα οποία δεν είχε ποτέ προηγούμενη συναλλαγή, είναι είτε κατά πρόσωπο, είτε μέσω τηλεφώνου, ζητώντας τους να συγκατατεθούν. Κάτι τέτοιο συμβαίνει για παράδειγμα κυρίως με την ευκαιρία εμπορικών εκθέσεων.

Σύμφωνα με τις σαφείς οδηγίες της ΑΠΔΠΧ[33], η χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή διαφημιστικών μηνυμάτων ή για την εμπορία των διευθύνσεων αυτών είναι παράνομη όταν αυτές συλλέγονται:

-Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων.

-Από καταλόγους που δεν έχουν συσταθεί για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψη τέτοιας μορφής ηλεκτρονικής επικοινωνίας. (πχ οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων κ.λ.π).

-Μέσω Διαδικτύου (harvesting) από μπλογκ και ιστοσελίδες που περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών, social media, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), white yellow pages κ.ά., ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawlers).

-Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων.

Οι εταιρείες-υπεύθυνοι επεξεργασίας, είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή γίνεται μέσω κάποιας διαφημιστικής εταιρείας για λογαριασμό τους.

Η συχνή παρανόηση ακόμη και  δικαστικών λειτουργών, ότι προσωπικά δεδομένα που έχουν δημοσιευτεί στο διαδίκτυο δεν προστατεύονται από το νόμο, είναι παντελώς λανθασμένη και συνήθως εντοπίζεται στη σύγχυση μεταξύ του πλαισίου προστασίας του απορρήτου των επικοινωνιών με το πλαίσιο για την προστασία των προσωπικών δεδομένων: κάτι τέτοιο μπορεί να ισχύει μόνο για το απόρρητο των επικοινωνιών, που έχει νόημα προστασίας του, όσο η επικοινωνία διεξάγεται -κατά τη βούληση των συμμετεχόντων-ιδιωτικά και όχι δημόσια.

Αντίθετα, το δίκαιο προστασίας προσωπικών δεδομένων, ορίζει ότι επεξεργασία προσωπικών δεδομένων μπορεί να γίνει μόνο εφόσον υπάρχει μία από τις 6 προβλεπόμενες στο δίκαιο νομικές βάσεις και μόνο για συγκεκριμένο θεμιτό και νόμιμο σκοπό, ανεξάρτητα αν τα δεδομένα είναι δημοσιευμένα ή όχι.

Επομένως, για παράδειγμα, κατάλογοι στοιχείων επαγγελματιών, που έχουν δημοσιευτεί προκειμένου να μπορούν να επικοινωνούν μαζί τους πελάτες και συνεργάτες ή συνάδελφοι, δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς, καθώς οι συμμετέχοντες στον κατάλογο έδωσαν τη συγκατάθεσή τους μόνο για το συγκεκριμένο σκοπό του καταλόγου και όχι για τη λήψη διαφημιστικών μηνυμάτων.

Έτσι, η φθηνή διαφημιστική λύση που παρείχε για δεκαετίες η πρακτική του spamming, ιδιαίτερα μετά την εφαρμογή του GDPR, μπορεί τελικά να έχει εξαιρετικά «ακριβό» τίμημα. Ο Κανονισμός αυτός, αν και δεν είναι το κατεξοχήν νομοθέτημα που εφαρμόζεται στην περίπτωση που εξετάζουμε, οδηγεί σταδιακά σε μεγαλύτερα ποσοστά ευαισθητοποίησης το μέσο πολίτη, όσον αφορά την πραγματική ουσία του δικαιώματός του στην προστασία των δεδομένων του, ενώ παράλληλα, οι αυστηρές του κυρώσεις, μπορούν να λειτουργήσουν αποτρεπτικά για κάθε τέτοια πρακτική, που συνηθέστατα θα σημαίνει και παραβίαση των όσων προβλέπει.

* Η Μαγδαληνή Σκόνδρα, CIPP/E, είναι δικηγόρος Θεσσαλονίκης, απόφοιτος της Νομικής σχολής του Α.Π.Θ.. Είναι  Αντιπρόεδρος του μη κερδοσκοπικού Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος και μέλος της Ελληνικής Ένωσης για την Ιδιωτικότητα και τα Προσωπικά Δεδομένα. Εργάζεται ως δικηγόρος, DPO ιδιωτικών φορέων και σύμβουλος προστασίας προσωπικών δεδομένων.

ΠΗΓΕΣ – ΒΙΒΛΙΟΓΡΑΦΙΑ

    • [1] Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’ (Μεταπτυχιακή διατριβή, ΠΑΠΕΙ, Τμήμα Πληροφορικής, 2012). και ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 3/2008, Ιούλιος – Αύγουστος – Σεπτέμβριος – Χ. Γ. Μουζάκης, Ανεπιθύμητη εμπορική ηλεκτρονική αλληλογραφία – Η αντιμετώπιση του φαινομένου στην ελληνική και διεθνή έννομη τάξη’, ημερομηνία πρόσβασης 30 Νοέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/479/lemmas/4639915?searchid=376993.
    • [2] Οδηγία 2002/58/ΕΚ
    • [3] Άρθρο 11 του Ν.3471/2006
    • [4] Βλ. αποφάσεις ΑΠΔΠΧ 70/2017, 59/2012, 59/2011, 83/2009, Οδηγία 1/2010, αλλά και ΟΕ29 Γνώμη 2/2004
    • [5] Ειδικότερα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει κρίνει ότι: «η διεύθυνση ηλεκτρονικού ταχυδροµείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδοµένο, αφού µπορεί να λειτουργήσει ως στοιχείο έµµεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία µε αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόµα και στοιχεία του ονόµατος του κατόχου. Επισηµαίνεται δε ότι, σύµφωνα και µε τη Γνώµη 4/2007 της οµάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά µε την έννοια των προσωπικών δεδοµένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έµµεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδροµείου, µπορούν επαρκώς σε ορισµένες περιπτώσεις να διακρίνουν ένα άτοµο από άλλα στο πλαίσιο ενός συγκεκριµένου συνόλου, ακόµα και αν δεν έχει γίνει η εξακρίβωση του ονόµατός του».ΑΠΔΠΧ απόφαση 70/2017
    • [6] Ορ. σχετ. απόφαση ΑΠΔΠΧ, 11/2019
    • [7]Συναφώς, τυγχάνουν εδώ εφαρμογής οι υπ΄ αριθ. 255/2017 κατευθυντήριες γραμμές της Ομάδας Εργασίας  του άρθρου 29 σχετικά με τη συγκατάθεση. ‘ARTICLE29 Newsroom – Guidelines on Consent under Regulation 2016/679 (wp259rev.01) – European Commission’, ημερομηνία πρόσβασης 1 Δεκέμβριος 2019, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
    • [8] όπως αυτή οριοθετείται από την Οδηγία ΕΚ 2002/58 και το άρθρο 11 του Ν. 3471/2006
    • [9] Ορ. άρθρο 5 παρ. 3 Ν. 3471/2006.
    • [10] Ορ. σχετ. απόφαση ΑΠΔΠΧ 51/2018, http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [11] Οδηγία ΑΠΔΠΧ 1/2010
    • [12] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=50,73,143,76,63,114,10,147
    • [13] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [14] άρθρο 2 περ. 7 του Ν.3471/2006
    • [15] https://www.dpa.gr/portal/page?_pageid=33,127423&_dad=portal&_schema=PORTAL
    • [16] άρθρο 11 παρ. 3 του Ν. 3471/2006
    • [17] Ορ. και ΑΠΔΠΧ 66/2018
    • [18] Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’.
    • [19] Καθώς είναι προφανές ότι τέτοιου είδους συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου μπορεί να υπαχθεί στο άρθρο 370Β΄ΠΚ, αφού με αυτήν το δίχως άλλο αποκτάται χωρίς δικαίωμα πρόσβαση σε ηλεκτρονικά δεδομένα, αλλά και στη διάταξη του άρθρου 38 του Ν.4624/2019, στο βαθμό που η συλλογή αφορά διευθύνσεις ΙΡ και ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, που εμπίπτουν στην έννοια των προσωπικών δεδομένων Έτσι και Εμμανουήλ Μεταξάκης, ‘Η ποινική προστασία της διεύθυνσης ηλεκτρονικού ταχυδρομείιου, του ονόματος χρήστη, του κωδικού πρόσβασης και της διεύθυνσης διαδικτυακού πρωτοκόλλου’, 2014, ΞΔ 2014, 2014, 8., σύμφωνα με τον οποίο ακόμη και οι δυναμικές διευθύνσεις θα πρέπει να θεωρούνται προσωπικά δεδομένα, άποψη που υιοθέτησε και το ΔΕΕ στην C-582.14 Patrick Breyer vs Bundesrepublik Deutschland  (http://curia.europa.eu/juris/document/document.jsf?text=&docid=186346&pageIndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=6481564)
    • [20] Αυτό  μπορεί να συνιστά και το αδίκημα της απάτης μέσω υπολογιστή, εφόσον ο δράστης έχει σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος Έτσι και ‘ΜΕΤΑΞΑΚΗΣ ΠΟΙΝΔΙΚ 2015 681
    • [21] Κατά την ΑΠΔΠΧ, τα μηνύματα σπαμ μπορεί να περιέχουν εκτός των άλλων και :
    • -ένα κακόβουλο μήνυμα εξαπάτησης με στόχο την εξαγωγή προσωπικών δεδομένων (phishing), όπως ονόματα χρήστη, κωδικούς, αριθμούς πιστωτικής κάρτας, κ.λπ.
    • -ένα κακόβουλο μήνυμα με στόχο την οικονομική εξαπάτηση (scamming)
    • -μηνύματα φαινομενικά εμπορικά που παραπέμπουν σε ιστοσελίδες με κακόβουλο κώδικα (malware) , https://www.dpa.gr/portal/page?_pageid=33,127453&_dad=portal&_schema=PORTAL
    • [22] Κατά το άρθρο 3 του Ν. 3471/2006, οριοθετείται το πεδίο εφαρμογής του ως εξής: «1. Οι διατάξεις των άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών περιλαμβανομένων αυτών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθεσίμων στο κοινό δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμόζεται ο ν. 2472/1997 (Α`50), όπως ισχύει.»
    1. Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο.».
    • [23] Ορ. σχετ. πρόσφατη υπ’ αριθ. 11/2019 απόφαση της ΑΠΔΠΧ, που σε παραβίαση του άρθρου 11 παρ. 1 του ν. 3471/2006, έκρινε  ότι «η Αρχή κρίνει ότι πρέπει να απευθύνει αυστηρή προειδοποίηση στο υπεύθυνο επεξεργασίας, με βάση το άρθρο 21 παρ. 1 εδαφ. α) του Ν 2472/1997, καθότι, σύμφωνα με το άρθρο 3 παρ. 1 και 2 του Ν 3471/2006, εφαρμογή στην προκειμένη περίπτωση έχει ο Ν 2472/1997 και όχι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679.»
    • [24]Αυτονοήτως, αυτό γίνεται δεκτό και από τη θεωρία και τους ακαδημαϊκούς: «Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών συνεχίζει να εφαρμόζεται ο ν. 2472/1997 (άρθρο 3 ν. 3471/2006). Η παραπάνω ρύθμιση σημαίνει πρώτα απ’ όλα ότι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πεδίο των παρεχόμενων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ο ν. 3471/2006 υπερισχύει του ν. 2472/1997, συνεπώς εφαρμόζεται για τις παρεχόμενες στο κοινό υπηρεσίες επικοινωνίας μέσω του διαδικτύου»  ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΪΑΦΑ-ΓΚΜΠΑΝΤΙ, ‘ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ’, ΑΡΜΕΝΟΠΟΥΛΟΣ σ.1058.
    • [25]. Έτσι, επικρίθηκε η απόφαση 19/2008 της ΑΠΔΠΧ, η οποία εφάρμοσε και μνημόνευσε το Ν. 2472/1997, αν και εξέταζε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, υπαγόμενων στο πεδίο εφαρμογής του Ν.3471/2006: «Στη σχολιαζόμενη απόφαση γίνεται ρητά αναφορά σε στοιχεία και δεδομένα προσωπικού χαρακτήρα των «συνδρομητών» του Παρόχου, δηλαδή αναφέρεται στην ειδική κατηγορία δεδομένων των Οδηγιών 97/66/ΕΚ και 2002/58/ΕΚ. Παρά ταύτα, ουδεμία αναφορά γίνεται στο Ν 3471/2006, ούτε αιτιολογείται με ποια συλλογιστική καταλήγει κανείς στο συμπέρασμα ότι τα στοιχεία αυτά αποτελούν «απλά» δεδομένα προσωπικού χαρακτήρα του Ν 2472/1997, τη στιγμή κατά την οποία αφορούν συνδρομητές Παρόχου υπηρεσιών τηλεφωνίας και επομένως υπάγονται στις διατάξεις του Ν 3471/2006 και εφαρμόζονται μόνο οι εκεί προβλεπόμενοι κανόνες επεξεργασίας.» ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’, ημερομηνία πρόσβασης 2 Δεκέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/478/lemmas/4639824.
    • [26]Μάλιστα, στην αναφερόμενη μελέτη, ο Γ.Τσόλιας κάνει λόγο για «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα» στο Ν 3471/2006 σε αντιδιαστολή με τα «απλά δεδομένα» του Ν. 2472/1997 «1. Από τις διατάξεις του Ν 3471/2006 προκύπτει η τυποποίηση περισσότερων κατηγοριών δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών σε δημόσια δίκτυα και μόνον  :Στην πρώτη κατηγορία υπάγονται τα δεδομένα κίνησης και θέσης (άρθρο 2 παρ. 3, 4 και άρθρο 6). Στην ίδια κατηγορία, υπάγεται η περίπτωση των δεδομένων θέσης, τα οποία τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών προστιθέμενης αξίας (άρθρο 2 παρ. 7 σε συνδυασμό με άρθρο 6 παρ. 3). Στη δεύτερη κατηγορία υπάγονται τα δεδομένα προσωπικού χαρακτήρα που παράγονται ή τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα, τα οποία όμως δεν αποτελούν δεδομένα κίνησης ή θέσης. Στην Αιτιολογική σκέψη υπ’ αρ. 15 της Οδηγίας 2002/58/ΕΚ γίνεται λόγος για την υπαγωγή του ονόματος, της αρίθμησης ή της διεύθυνσης στην έννοια των δεδομένων κίνησης , στοιχεία τα οποία συνδέονται με το γεγονός και τη μετάδοση της επικοινωνίας.»‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’.
    • [27] ο οποίος ρητά προβλέπει ότι εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου. (Αιτ. σκέψη 173 GDPR)
    • [28] «άρθρο 83 παρ. 1:Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του GDPR και του παρόντος.» Περαιτέρω, κατά την δεύτερη παράγραφο του ίδιου άρθρου «2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον GDPR και στις ρυθμίσεις του παρόντος».
    • [29] Άρθρο 14 παρ. 2 Ν. 3471/2006
    • [30] βάσει της διατηρουμένης σε ισχύ διάταξης του άρθρου 21 του Ν. 2472/97 : Το άρθρο 84 του Ν. 4624/2019, διατήρησε σε ισχύ το άρθρο 21 του Ν. 2472/1997, που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006
    • [31] http://www.dpa.gr/portal/page?_pageid=33,211532&_dad=portal&_schema=PORTAL
    • [32] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=47,129,81,44,214,237,129,37
    • [33] https://www.dpa.gr/portal/page?_pageid=33,127438&_dad=portal&_schema=PORTAL


Ασφάλεια υπολογιστών και προστασία της ιδιωτικότητας εν μέσω της πανδημίας COVID-19

Γράφει ο Γιάννης Κωνσταντινίδης*

Zούμε αδιαμφισβήτητα πρωτόγνωρες καταστάσεις. Ενώ φυσικά είναι προτεραιότητα να σωθούν ανθρώπινες ζωές και να περιοριστεί η εξάπλωση του κορωνοϊού, δεν πρέπει να ξεχνάμε τη σπουδαιότητα της θωράκισης μας ενάντια σε ψηφιακές απειλές. Γιατί δυστυχώς, αυτούς τους μήνες παρατηρούμε ότι αρκετοί επιτήδειοι χρησιμοποιούν την πανδημία ως «ευκαιρία» για να εξαπολύσουν επιθέσεις και απάτες μέσω του Διαδικτύου. Όπως θα δούμε στη συνέχεια μέσα από πραγματικά παραδείγματα, από τις κυβερνοεπιθέσεις σημειώνεται τεράστιο αρνητικό αντίκτυπο τόσο στους τελικούς χρήστες του Διαδικτύου όσο και στις κρίσιμες υποδομές που εστιάζουν στην αντιμετώπιση του COVID-19.

Σε αυτό το άρθρο, θα μελετήσουμε ορισμένα πρόσφατα γεγονότα κυβερνοασφάλειας και θα σχολιάσουμε τρόπους με τους οποίους μπορούμε να προστατευτούμε από αυτές. Όσοι εργάζεστε απομακρυσμένα από το σπίτι και χρησιμοποιείτε ψηφιακά εργαλεία τηλεσυνεργασίας και τηλεδιάσκεψης, είναι σημαντικό να ακολουθείτε τις διαδικασίες και κατευθυντήριες γραμμές που έχει θεσπίσει ο εργοδότης σας. Πρέπει να είμαστε εξαιρετικά προσεκτικοί στις ηλεκτρονικές επικοινωνίες (e-communications) και συναλλαγές (e-transactions) μας, γιατί άθελα μας μπορεί να εκθέσουμε τους εαυτούς μας ή/και άλλους.

Ηλεκτρονικό Ταχυδρομείο και SMS

Σε ένα περιστατικό, που δυνητικά «εκμεταλλεύεται» την παρούσα κατάσταση, οι επιτιθέμενοι υποδύονται στελέχη της Ελληνικής Αστυνομίας και αποστέλλουν αληθοφανή μηνύματα ηλεκτρονικού ταχυδρομείου (e-mails) σε υποψήφια θύματα τους. Το περιεχόμενο αυτών των μηνυμάτων έχει συνήθως αυστηρό ύφος, προσπαθεί να δημιουργήσει ένα κλίμα άγχους και προτρέπει τους χρήστες σε μία άμεση ενέργεια. Μέσα από τέτοιες επιθέσεις, οι επιτήδειοι προσπαθούν να παραπλανήσουν τους χρήστες και έχουν πιθανότατα ως απώτερο στόχο να μεταδώσουν κακόβουλο λογισμικό (malicious software) και να αποσπάσουν στοιχεία πιστωτικών καρτών, κωδικούς πρόσβασης σε ηλεκτρονικές υπηρεσίες και κοινωνικά δίκτυα, κ.α.

Στο παρακάτω στιγμιότυπο οθόνης, μπορούμε να δούμε στην πράξη το περιεχόμενο και τη δομή ενός μηνύματος που έφτασε απαρεμπόδιστα στο ηλεκτρονικό γραμματοκιβώτιο (e-mailbox).

Στο παράδειγμα αυτό, δυστυχώς το σύστημα ηλεκτρονικής αλληλογραφίας δεν κατόρθωσε να το χαρακτηρίσει αυτομάτως ως ανεπιθύμητο (spam). Επομένως, δεν πρέπει να βασιζόμαστε εξ’ ολοκλήρου στην παρουσία των προκαθορισμένων μηχανισμών ελέγχου. Χρειάζεται να είμαστε πάντοτε επιφυλακτικοί.

 

Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως επιστολή της Ελληνικής Αστυνομίας και περιλαμβάνει ύποπτο αρχείο.

Εξετάζοντας λίγο πιο προσεκτικά αυτό το μήνυμα, παρατηρούμε αρχικά ότι η διεύθυνση αποστολής είναι αληθοφανής. Το όνομα χώρου (domain name) που απεικονίζεται είναι το hellenicpolice.gr. Αυτό όμως δεν εξασφαλίζει σε καμία περίπτωση ότι το μήνυμα όντως στάλθηκε επίσημα από την υποδομή της Ελληνικής Αστυνομίας. Έπειτα, βλέπουμε ότι έχει γίνει επισύναψη (attach) ενός αρχείου με κατάληξη .iso που μάλλον δεν είναι κάτι που φυσιολογικά θα περιμέναμε. Ταυτόχρονα, παρατηρούμε ότι υπάρχουν ορθογραφικά λάθη και έλλειψη συνοχής σε αρκετά τμήματα του κειμένου. Τέλος, η επιστολή αυτή ούτε απευθύνεται σε κάποιο συγκεκριμένο άτομο ούτε αναφέρεται σε συγκεκριμένες καταστάσεις και αυτό κινεί αρκετά τις υποψίες.

H ανάγνωση της κεφαλίδας (header) ενός μηνύματος ηλεκτρονικής αλληλογραφίας μπορεί να μας βοηθήσει να κατανοήσουμε περισσότερες πληροφορίες σχετικά με την προέλευση του. Είναι ένας τρόπος που συχνά προδίδει τον επιτιθέμενο. Αυτή η μέθοδος προϋποθέτει ωστόσο κάποιες τεχνικές γνώσεις και σε αυτό το άρθρο δεν σκοπεύουμε να την αναλύσουμε περαιτέρω.

Η Ελληνική Αστυνομία, σε ανακοίνωση της, επιβεβαίωσε το περιστατικό. Φυσικά, παρόμοιες επιθέσεις έχουν εμφανιστεί σε πολλές ακόμη χώρες. Σε τέτοιου είδους απόπειρες προτείνεται η άμεση διαγραφή των μηνυμάτων και η επικοινωνία με τις διωκτικές αρχές εφόσον κρίνεται απαραίτητο.

Σε άλλα επεισόδια που αποτυπώθηκαν από υπηρεσίες κυβερνοασφάλειας του Ηνωμένου Βασιλείου και των Ηνωμένων Πολιτειών, επιθέσεις ηλεκτρονικού ψαρέματος (phishing) πραγματοποιούνται εξίσου μέσω SMS. Συγκεκριμένα, σε ένα μήνυμα που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου, οι χρήστες προτρέπονται να επισκεφτούν σύνδεσμο που λέγεται ότι περιέχει πληροφορίες σχετικά με την καταβολή ενός υποτιθέμενου επιδόματος. Αντιθέτως, πρόκειται για παγίδα και οι επιτιθέμενοι επιθυμούν την υποκλοπή λογαριασμών χρηστών, τραπεζικών στοιχείων, κ.α. Πέραν αυτού, τέτοιες επικοινωνίες μπορεί να χρησιμοποιηθούν ως μέσο για επιθέσεις ransomware οι οποίες μπορεί να έχουν ολέθριες συνέπειες για τις υποδομές και τα άτομα που μάχονται ενάντια στον κορωνοϊό.

Απόπειρα ηλεκτρονικού ψαρέματος μέσω SMS που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου (πηγή).

Τηλεργασία

Η εργασία από το σπίτι είναι ομολογουμένως δύσκολη, αν σκεφτούμε ότι ίσως να μοιράζονται πολλά άτομα τον ίδιο χώρο. Όμως, οι δραστηριότητες επεξεργασίας εμπιστευτικών ή προσωπικών δεδομένων είναι αναγκαίο να διεκπεραιώνονται σε ένα απομονωμένο μέρος λαμβάνοντας διαρκώς υπόψιν τις κατευθυντήριες γραμμές του εργοδότη και τηρώντας τη νομοθεσία. Δεν αποκαλύπτουμε τα δεδομένα σε όσους δεν έχουν αιτιολογημένη και εξουσιοδοτημένη πρόσβαση και ταυτόχρονα ορίζουμε τεχνικά μέτρα για την προστασία τους από πιθανούς επιτιθέμενους. Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) έχει δημοσιεύσει συμβουλές κυβερνοασφάλειας για την εξ’ αποστάσεως εργασία. Επιπρόσθετες συμβουλές μπορούν μάλιστα να βρεθούν αναρτημένες σε σελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης. Ιδιαίτερα σημαντικές είναι και οι πρόσφατες κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας.

Σε προηγούμενο άρθρο είχε αναφερθεί ότι ακόμα και με το συνδυασμό HTTPS και TLS δεν παρέχεται προστασία απέναντι στην ανάλυση της δικτυακής κίνησης (network traffic analysis). Ένας κακόβουλος αναλυτής μπορεί να είναι σε θέση να παρακολουθήσει τη συμπεριφορά μας και να αντλήσει ουσιαστικές πληροφορίες. Με την αξιοποίηση κατάλληλα ρυθμισμένων εικονικών ιδιωτικών δικτύων (virtual private networks), τα δεδομένα περνούν κρυπτογραφημένα μέσα από «τούνελ» προτού φτάσουν στον εκάστοτε προορισμό καθιστώντας δυσκολότερη την ανίχνευση τους. Τους τελευταίους μήνες έχουν καταγραφεί ραγδαίες αυξήσεις στη χρήση VPNs σε παγκόσμιο επίπεδο. Βέβαια, η επιλογή παρόχων VPNs δεν είναι πάντα εύκολη υπόθεση καθώς μερικοί υποκύπτουν σε κυβερνοεπιθέσεις και άλλοι δε σέβονται την ιδιωτικότητα των χρηστών τους.

Διαθέτει ο εργοδότης μας υπηρεσία VPN; Λογισμικό κρυπτογράφησης; Ακολουθούμε την εκάστοτε προβλεπόμενη διαδικασία και ερχόμαστε σε επικοινωνία με το τμήμα τεχνικής υποστήριξης σε περίπτωση που αντιμετωπίσουμε πρόβλημα ή εάν έχουμε οποιουδήποτε είδους αμφιβολία.

Οι επικοινωνίες σε πραγματικό χρόνο (real-time communications) είναι καθοριστικές στο πλαίσιο της τηλεργασίας. Το FBI των ΗΠΑ έχει προειδοποιήσει για περιπτώσεις όπου άγνωστοι εισήλθαν σε ελεύθερα προσβάσιμες Διαδικτυακές τηλεδιασκέψεις και παρεμπόδισαν την ομαλή τους διεξαγωγή. Οι διοργανωτές των συνεδριών τηλεδιάσκεψης οφείλουν να ελέγχουν ποιοι εισέρχονται σε αυτές και να ορίζουν—όπου καθίσταται δυνατό—κωδικούς εισόδου και άλλα συναφή μέτρα. Προτιμούμε υπηρεσίες και εφαρμογές που προσφέρουν κρυπτογράφηση από-άκρο-σε-άκρο (end-to-end encryption) για τον περιορισμό φαινομένων διαρροής.

Μαθαίνουμε επίσης ότι περίπου πεντακόσιες χιλιάδες στοιχεία λογαριασμών της πλατφόρμας Zoom, γνωστής υπηρεσίας τηλεδιασκέψεων διοχετεύτηκαν στον σκοτεινό ιστό (dark web). Έναν παράγοντα αποτέλεσαν τα προβλέψιμα και αδύναμα συνθηματικά που χρησιμοποιούσαν οι χρήστες. Με τον ορισμό μακροσκελών και πολύπλοκων συνθηματικών και με την ενεργοποίηση—όπου είναι εφικτό—της αυθεντικοποίησης πολλαπλών παραγόντων (multi-factor authentication) διαφυλάσσουμε τους λογαριασμούς μας.

Συσκευές και Λογισμικό

Εμφανίστηκε μία νέα επίθεση που στοχεύει σε οικιακούς δρομολογητές (routers) και κατορθώνει να αλλάξει τις καταχωρημένες ρυθμίσεις DNS—θυμηθείτε ότι έχει γίνει σύντομη αναφορά στο DNS σε προηγούμενο άρθρο—με αποτέλεσμα ορισμένες φορές να ανακατευθύνει τους χρήστες σε διαφορετική σελίδα.

Εκεί, οι επιτιθέμενοι προτρέπουν στους χρήστες να εγκαταστήσουν μία υποτιθέμενη εφαρμογή του Παγκόσμιου Οργανισμού Υγείας (World Health Organization) που προσφέρει ενημέρωση και οδηγίες για τον κορωνοϊό. Στην πραγματικότητα, αποτελεί κακόβουλο λογισμικό με τελικό σκοπό την υποκλοπή κωδικών πρόσβασης και λοιπών πληροφοριών.

Σελίδα στην οποία ανακατευθύνεται ο χρήστης και προτρέπει τη λήψη μίας υποτιθέμενης εφαρμογής του Παγκόσμιου Οργανισμού Υγείας (πηγή).

Κάποιοι προσπαθούν να εκμεταλλευτούν την πιθανή ανησυχία των πολιτών σχετικά με την πανδημία και προωθούν «σκιώδεις» εφαρμογές. Απαιτείται μεγάλη προσοχή κάθε φορά που εγκαθιστούμε λογισμικό. Προτιμούμε να λαμβάνουμε αξιόπιστες εφαρμογές από τα προεπιλεγμένα καταστήματα εφαρμογών (application marketplaces) που αντιστοιχούν στη συσκευή/λειτουργικό σύστημα που χρησιμοποιούμε. Επιπλέον, φροντίζουμε να κρατάμε το λογισμικό μας ενημερωμένο και δε λαμβάνουμε ενημερώσεις από μη-εγκεκριμένες πηγές.

Τελικές Σκέψεις

Με την πανδημία COVID-19 να έχει εξαναγκάσει τους περισσότερους να βρίσκονται στο σπίτι και να χρησιμοποιούν υπηρεσίες του Διαδικτύου για επαγγελματικούς λόγους και για ψυχαγωγία, τα φαινόμενα ηλεκτρονικών επιθέσεων και εγκλημάτων έχουν αυξηθεί. Είναι σημαντικό να βρισκόμαστε σε διαρκή επαγρύπνηση ώστε να εντοπίζουμε και να αντιμετωπίζουμε αποτελεσματικά διάφορες απόπειρες. Ας μην ξεχνάμε βέβαια και όσους δεν έχουν τόσο μεγάλη εξοικείωση με τις νέες τεχνολογίες, παρέχοντας τους συμβουλές και καθοδήγηση σε προβλήματα που ίσως αντιμετωπίζουν.

Για περισσότερες πληροφορίες σχετικά με την προστασία των προσωπικών δεδομένων εν μέσω της πανδημίας του κορωνοϊού, μπορείτε να διαβάσετε το άρθρο της Ελπίδας Βαμβακάς και της Μαρίνας Ζαχαροπούλου. Παράλληλα, ο Ιωάννης Κροντήρης στο άρθρο του δίνει έμφαση στην κινητή τηλεφωνία και στις εφαρμογές ιχνηλάτησης.

*Ο Γιάννης Κωνσταντινίδης εργάζεται ως σύμβουλος σε θέματα κυβερνοασφάλειας και διαχείρισης επικινδυνότητας. Είναι απόφοιτος του Τμήματος Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου και νυν μεταπτυχιακός φοιτητής στον τομέα της Ηλεκτρονικής Διακυβέρνησης. Συμμετέχει επί έτη σε πολλαπλά έργα ελεύθερου και ανοικτού λογισμικού και δίνει ομιλίες σχετικά με θέματα ιδιωτικότητας και προστασίας δεδομένων, πνευματικών δικαιωμάτων και ανοικτών τεχνολογιών.


Προστασία προσωπικών δεδομένων κατά την παροχή υπηρεσιών υγείας

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc*

Σε μια εποχή που κρίνεται παραπάνω από επιτακτική η προστασία των προσωπικών δεδομένων, τίθεται το ερώτημα ποιος είναι ο ορθός τρόπος επεξεργασίας των δεδομένων των επισκεπτών σε μονάδες παροχής υπηρεσιών υγείας (πχ. νοσηλευόμενων σε Νοσοκομεία ή Κλινικές, επισκέπτες σε διαγνωστικά εργαστήρια κλπ.) και ποια είναι τα δικαιώματα τους, σύμφωνα και με τον ευρωπαϊκό Κανονισμό 679/2016 και την κείμενη νομοθεσία.

Λαμβάνοντας υπόψη ότι στην περίπτωση αυτή διακινούνται «ειδικές κατηγορίες δεδομένων», όπως ενδεικτικά δεδομένα που αφορούν την υγεία, γενετικά δεδομένα ή/και βιομετρικά δεδομένα του λήπτη των υπηρεσιών υγείας, είναι κρίσιμης σημασίας ο τρόπος της συνολικής επεξεργασίας των δεδομένων από τον πάροχο των υπηρεσιών, από την αρχική τους συλλογή, έως και την μετέπειτα διαχείριση και τήρηση τους στον ιατρικό φάκελο.

Ακεραιότητα και εμπιστευτικότητα δεδομένων

Σύμφωνα με την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, ο επισκέπτης σε μονάδα παροχής υπηρεσιών υγείας θα αναμένει από την μονάδα να προστατεύσει τα προσωπικά του δεδομένα μέσω κατάλληλων οργανωτικών και τεχνικών μέτρων προστασίας, τόσο σε φυσικό επίπεδο (έντυπη πληροφορία) και ηλεκτρονικό επίπεδο (ηλεκτρονική πληροφορία), όσο και σε  επίπεδο προφορικής διαχείρισης της πληροφορίας.

Η παραπάνω υποχρέωση της μονάδας υγείας, με την ιδιότητα του «υπευθύνου επεξεργασίας» των δεδομένων, προκύπτει από το άρθρο 32 του ΓΚΠΔ, σχετικά με την διασφάλιση του απορρήτου και την ασφάλεια της επεξεργασίας των προσωπικών δεδομένων.

Τα κατάλληλα οργανωτικά και τεχνικά μέτρα αφορούν την γενικότερη οργάνωση και λειτουργία της μονάδας σχετικά με θέματα προστασίας δεδομένων, όπως ενδεικτικά την ύπαρξη σχετικών διαδικασιών και εσωτερικών δικλείδων ασφαλείας, την ύπαρξη ρητρών εμπιστευτικότητας προσωπικού καθώς και την εκπαίδευση του, την συνολική συμμόρφωση της μονάδας υγείας με τον ΓΚΠΔ κλπ. Με αυτόν τον τρόπο, μπορούν να ελαχιστοποιηθούν οι πιθανότητες μιας «μη εξουσιοδοτημένης πρόσβασης ή τυχαίας αποκάλυψης δεδομένων», όπως και μιας «μη εξουσιοδοτημένης ή τυχαίας αλλαγής δεδομένων», σύμφωνα με το άρθρο 5 του ΓΚΠΔ.

Ορισμένα από τα σημαντικότερα δικαιώματα του λήπτη υπηρεσιών υγείας

Ο λήπτης υπηρεσιών υγείας θα πρέπει να γνωρίζει ποια είναι τα δικαιώματα του  σύμφωνα με τον ΓΚΠΔ και να αναμένει από την μονάδα υγείας να είναι σε θέση να τα εξυπηρετήσει, όποτε προκύψει η ανάγκη:

Ενημέρωση σχετικά με την προστασία δεδομένων

Η επεξεργασία των δεδομένων συνήθως ξεκινάει από την επίσκεψη του ασθενή ή εξεταζόμενου στην μονάδα παροχής υπηρεσιών υγείας και, συγκεκριμένα, κατά την εισαγωγή των στοιχείων του στο ηλεκτρονικό πρόγραμμα της μονάδας από την γραμματεία υποδοχής ή το γραφείο κίνησης. Σε ορισμένες περιπτώσεις, η επεξεργασία μπορεί να έχει ήδη ξεκινήσει πριν από την πρώτη επίσκεψη, όπως για παράδειγμα στην περίπτωση ασφαλισμένων σε ιδιωτικές ασφαλιστικές εταιρίες, όπου προηγούνται επικοινωνίες μεταξύ της μονάδας, του ασθενή και της ασφαλιστικής του εταιρίας.

Λαμβάνοντας υπόψη την αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας (άρθρο 5 του ΓΚΠΔ), ο ασθενής / επισκέπτης, με την ιδιότητα του «υποκειμένου των δεδομένων», θα πρέπει κατά την φάση της εισαγωγής και πριν την έναρξη παροχής της υπηρεσίας, να ενημερώνεται από την μονάδα υγείας για την επικείμενη επεξεργασία προσωπικών δεδομένων.

Η ενημέρωση θα πρέπει:

– να πραγματοποιείται με απλό, σαφή και κατανοητό τρόπο, μέσω σχετικού ενημερωτικού εντύπου και

-να περιλαμβάνει όλες τις απαραίτητες πληροφορίες για την ταυτότητα και τα στοιχεία επικοινωνίας της μονάδας υγείας, τις σχετικές κατηγορίες δεδομένων, τους τρόπους και τους σκοπούς της επεξεργασίας των δεδομένων, τους πιθανούς αποδέκτες των δεδομένων, τα δικαιώματα του ασθενή / επισκέπτη, τις υποχρεώσεις της μονάδας υγείας, το χρονικό διάστημα στο οποίο θα αποθηκευτούν τα δεδομένα κλπ.

Δεδομένου ότι η νομική βάση για την επεξεργασία των προσωπικών δεδομένων στην εξεταζόμενη περίπτωση είναι η παροχή ιατρικών υπηρεσιών, η εν λόγω ενημέρωση δεν συνιστά λήψη συγκατάθεσης από τον επισκέπτη (άρθρο 9.2 του ΓΚΠΔ).

Ωστόσο, απαιτείται ξεχωριστή λήψη συγκατάθεσης σε περίπτωση περαιτέρω επεξεργασίας των δεδομένων για ειδικούς σκοπούς (πχ. λήψη προσωπικής ηλεκτρονικής διεύθυνσης για μελλοντική αποστολή Newsletter κλπ.).

Πρόσβαση στον ιατρικό φάκελο

Μετά την παροχή της υπηρεσίας, ο λήπτης της υπηρεσίας έχει το δικαίωμα να αιτηθεί αντίγραφα των δεδομένων του που σχετίζονται με την πορεία της υγείας του, όπως ενδεικτικά πρακτικό ιατρικής επέμβασης, αποτελέσματα ιατρικών εξετάσεων κλπ. Η πρόσβαση στα δεδομένα θα πρέπει να είναι απρόσκοπτη, χωρίς χρέωση και κατόπιν έγγραφης αίτησης του αιτούντα προς την μονάδα υγείας. Πολύ σημαντική είναι η ταυτοπροσωπία, τόσο κατά την διάρκεια της παραλαβής του αιτήματος, όσο και κατά την παράδοση των αντιγράφων από το ιατρικό αρχείο.

Δικαίωμα  στη Λήθη (διαγραφή)

Ο λήπτης των υπηρεσιών υγείας έχει το δικαίωμα να ζητήσει από την μονάδα υγείας τη διαγραφή των προσωπικών του δεδομένων, αλλά, σε κάθε περίπτωση, όχι πριν τα 10 χρόνια για την πρωτοβάθμια περίθαλψη ή 20 χρόνια για την δευτεροβάθμια περίθαλψη, από την τελευταία του επίσκεψη (άρθρο14 Ν.3418/2005 – Κώδικας Ιατρικής Δεοντολογίας).

Περιορισμός της επεξεργασίας

Ο λήπτης των υπηρεσιών υγείας θα αναμένει από την μονάδα υγείας να τηρεί την αρχή της ελαχιστοποίησης και του περιορισμού της επεξεργασίας των δεδομένων, συλλέγοντας και αποθηκεύοντας τα απολύτως απαραίτητα δεδομένα που απαιτούνται για την επιτυχή έκβαση της θεραπείας ή ιατρικής εξέτασης και τίποτα παραπάνω.

Παραδείγματα κατά την εξυπηρέτηση ασθενή / εξεταζόμενου

Η υλοποίηση όλων των απαραίτητων οργανωτικών και τεχνικών μέτρων από την μονάδα υγείας, θα πρέπει να εφαρμόζονται πριν την έναρξη της παροχής υπηρεσίας υγείας, κατά την διάρκεια αυτής, αλλά και μετά την λήξη της παροχής υπηρεσίας.

-Πριν την νοσηλεία

Για παράδειγμα, πριν μια από νοσηλεία σε Νοσοκομείο ή Κλινική, μπορεί να έχουν προηγηθεί επικοινωνίες και ενημερώσεις μεταξύ του «υποκειμένου» και της μονάδας υγείας, να έχουν πραγματοποιηθεί προεγχειρητικοί έλεγχοι ή/και υπογραφεί έντυπα (πχ. συγκατάθεση για ιατρική πράξη), να εμπλέκεται ασφαλιστική εταιρία ή λοιποί διαμεσολαβητές κλπ. Καθότι το «ταξίδι» των προσωπικών δεδομένων του επικείμενου πελάτη (απλές και ειδικές κατηγορίες δεδομένων) έχει ήδη ξεκινήσει, προκύπτει λοιπόν από τα πρώτα κιόλας στάδια η ανάγκη προσεκτικής φύλαξης από την μεριά του Νοσοκομείου / Κλινικής των δεδομένων σε φυσική ή /και ηλεκτρονική μορφή, η προσοχή κατά την πιθανή επανάκληση στο τηλέφωνο για παροχή πληροφοριών (προς τον αιτούντα), γενικότερη μέριμνα για ασφαλείς  επικοινωνίες  (ηλεκτρονικά, τηλεφωνικά, έντυπα, fax), καθώς και τήρηση όλων των κανόνων ασφαλείας κατά την πιθανή επικοινωνία με τρίτα μέρη ή/και διαμεσολαβητές (ασφαλιστικές εταιρίες, εξουσιοδοτημένοι εκπρόσωποι του επικείμενου πελάτη κλπ.).

-Κατά την διάρκεια της νοσηλείας

Από την φάση της εισαγωγής και της ενημέρωσης του νοσηλευόμενου, την προετοιμασία για ιατρική πράξη / επέμβαση και την υλοποίηση αυτής, την ανάνηψη του και την μετέπειτα μεταφορά του σε θάλαμο νοσηλείας, την γενικότερη «εξυπηρέτηση» του νοσηλευόμενου κατά την περίοδο της ανάρρωσης του έως και το εξιτήριο του,  το Νοσοκομείο / η Κλινική πρέπει να μεριμνά διαρκώς για την προστασία κάθε μορφής προσωπικών δεδομένων του νοσηλευόμενου, όπως αυτά συλλέγονται σε κάθε στάδιο.

Ενδεικτικά και όχι περιοριστικά, αποφυγή προσφώνησης του σε κοινόχρηστους χώρους με το ονοματεπώνυμο του, προσεκτική διαχείριση των έντυπων και ηλεκτρονικών του δεδομένων σε κάθε φάση της νοσηλείας του (πχ. προσεκτικός τρόπος μετακίνησης φακέλου ασθενή από τμήμα σε τμήμα, προστασία υπηρεσιακών βιβλίων και εντύπων στις στάσεις νοσηλείας, προσεκτική τήρηση και διαβίβαση ηλεκτρονικών δεδομένων μέσω του συστήματος ή/και με e-mail κλπ.), αποτελεσματική αντιμετώπιση ιδιαιτεροτήτων κατά την νοσηλεία και το επισκεπτήριο (με την παρουσία κόσμου), προσεκτική αποστολή βιολογικών δειγμάτων σε τρίτα εργαστήρια, προσεκτική αποστολή δεδομένων σε ασφαλιστικά ταμεία και άλλες δημόσιες υπηρεσίες (πχ. ληξιαρχεία, ινστιτούτο υγείας του παιδιού κλπ.),προσεκτική αποστολή δεδομένων σε άλλα νοσηλευτικά ιδρύματα ή/και ιατρούς (εφόσον κριθεί αναγκαίο για την υγεία του νοσηλευόμενου), ενημέρωση για ύπαρξη και λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) για την προστασία προσώπων και αγαθών κλπ.

-Μετά το εξιτήριο

Όπως αναφέρθηκε, θα πρέπει η μονάδα υγείας να μπορέσει να εξυπηρετήσει το «υποκείμενο» και μετά την νοσηλεία του, όπως να του προσκομίζει αντίγραφα από τον ιατρικό του φάκελο, κατόπιν αιτήματος του. Η υποχρέωση τήρησης ιατρικού αρχείου και τα κατάλληλα μέτρα φύλαξης του, αλλά και η ενδεδειγμένη καταστροφή του μετά την απαιτούμενη περίοδο διακράτησης (πχ. καταστροφή φυσικού αρχείο σε καταστροφέα εγγράφων, διαγραφή ηλεκτρονικού αρχείου και κάθε αντίγραφου σε άλλα ηλεκτρονικά μέσα αποθήκευσης κλπ.), θα πρέπει να θεωρούνται αυτονόητα από την μεριά της μονάδας υγείας, σύμφωνα και με τις αρχές της ακεραιότητας, της εμπιστευτικότητας και της απαίτησης για διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO στην Κλινική ΓΕΝΕΣΙΣ στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

    • Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
    • Υπουργείο Υγείας της Ελληνικής Δημοκρατίας (Ιούλιος 2018), Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις, Αθήνα, 1η Έκδοση
    • https://www.moh.gov.gr/articles/gdpr/5667-syxnes-erwthseis
    • https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL