Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Τα σχολεία της Μεσσηνίας στο επίκεντρο της ψηφιακής ευαισθητοποίησης
Από τις 31 Μαρτίου έως τις 7 Μαΐου, η ΑΜΚΕ Homo Digitalis επισκέφθηκε 11 σχολεία πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης στη Μεσσηνία, φέρνοντας την ενημέρωση και την εκπαίδευση γύρω από την ασφάλεια στο διαδίκτυο πιο κοντά σε μαθήτριες και μαθητές.
Κατά τη διάρκεια των εκπαιδεύσεων σε Αρφαρά, Δώριο, Εύα, Θουρία, Καλαμάτα, Κυπαρισσία, Πύλο, Φιλιατρά, Φοινικούντα και Χώρα, 554 μαθήτριες και μαθητές ήρθαν σε επαφή με βασικά ζητήματα του ψηφιακού κόσμου, όπως: Διαδικτυακός εκφοβισμός, Ασφάλεια στο διαδίκτυο, Αναγνώριση και κατανόηση των deepfakes, και Υπεύθυνη χρήση των μέσων κοινωνικής δικτύωσης.
Η ενημέρωση και ευαισθητοποίηση των παιδιών, αλλά και των ενηλίκων, αποτελεί απαραίτητο βήμα για μια ασφαλή και υγιή πλοήγηση στον ψηφιακό κόσμο.
Η δράση υλοποιήθηκε με την υποστήριξη του Ιδρύματος Καπετάν Βασίλη και Κάρμεν Κωνσταντακόπουλου και θα συνεχιστεί με νέες παρουσιάσεις την περίοδο Σεπτεμβρίου – Δεκεμβρίου 2025.
Αν το σχολείο σας βρίσκεται στη Μεσσηνία και επιθυμεί να φιλοξενήσει δωρεάν εκπαιδεύσεις, επικοινωνήστε με την ομάδα της Homo Digitalis στο info@homodigitalis.gr.
Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.
Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα
Γράφει o Τάσος Αραμπατζής
Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.
Η Περίπτωση της 23andMe
Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.
Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.
Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .
Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.
«23andMe» και στην Ελλάδα;
Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.
Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.
Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.
Οι Κίνδυνοι της Ιδιωτικοποίησης
Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.
Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.
Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.
Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.
Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.
Άρθρο 77 AI Act: Τι ισχύει 6 μήνες μετά τον ορισμό των Αρχών Θεμελιωδών Δικαιωμάτων;
Στην πρώτη επίσημη προθεσμία που έθεσε ο Κανονισμός για την Τεχνητή Νοημοσύνη, (AI ACT) ζητούσε από τα κράτη μέλη να διορίσουν μία οι περισσότερες αρχές σύμφωνα με το άρθρο 77 για την προστασία των θεμελιωδών δικαιωμάτων από παραβιάσεις συστημάτων υψηλού ρίσκου μέχρι και τις 2 Νοεμβρίου 2024.
Σήμερα, 2 Μαΐου 2025, έξι μήνες μετά την παρέλευση της προθεσμίας, 25 από τις 27 Ευρωπαϊκές χώρες (2), έχουν διορίσει συνολικά 210 αρχές, ένας αριθμός που μοιάζει συγκλονιστικός και συνάμα περνά ένα ηχηρό μήνυμα για το πόσο το ζήτημα των θεμελιωδών δικαιωμάτων αφορά τις χώρες αυτές. Αντικατοπτρίζει όμως την πραγματικότητα; Με την παρούσα σύντομη μελέτη θα προσπαθήσουμε να δώσουμε απαντήσεις στα εξής ερωτήματα:
– Σε τι αποσκοπεί το άρθρο 77 του Κανονισμού για την ΤΝ;
– Ποιες αρχές διορίστηκαν από τα κράτη μέλη μέχρι και σήμερα;
– Ποιες αρμοδιότητες δίνει πραγματικά ο Κανονισμός για την ΤΝ στις ρυθμιστικές αυτές αρχές αλλά και ποιες υποχρεώσεις απορρέουν από το άρθρο 78 του Κανονισμού της ΤΝ για την εμπιστευτικότητα των πληροφοριών;
– Ποιες είναι οι τέσσερις εθνικές αρχές που έχουν αναλάβει αυτό τον ρόλο, ποιες είναι οι υφιστάμενες και ποιες οι νέες εξουσίες τους σύμφωνα με τον Κανονισμό για την ΤΝ;
Μέσα από ένα case study, η Διευθύντρια Δικαιωμάτων του Ανθρώπου και Τεχνητής Νοημοσύνης της Homo Digitalis, Λαμπρινή Γυφτοκώστα, προσπαθεί να δει πως θα συνεργαστούν αυτές οι αρχές, θέτοντας ταυτόχρονα και κάποια ερωτήματα που σίγουρα θα μας απασχολήσουν σε βάθος χρόνου.
Μπορείτε να διαβάσετε τη μελέτη μας εδώ.
Δημοσιεύουμε την 4η Μελέτη μας για την ΑΙ ACT - Συγκριτική επισκόπηση των διατάξεων για τα δικαιώματα των θιγόμενων προσώπων
Σήμερα, 11 Απριλίου 2025, η Homo Digitalis δημοσιεύει την τέταρτη μελέτη της για τις διατάξεις του Κανονισμού 2024/1689 για την τεχνητή νοημοσύνη (ΤΝ), ευρέως γνωστού ως AI Act.
Στο επίκεντρο της μελέτης αυτής βρίσκονται το δικαίωμα στην επεξήγηση και το δικαίωμα του υποκειμένου να μην υπόκειται σε αυτοματοποιημένη λήψη απόφασης.
Συγκεκριμένα, η χρήση συστημάτων τεχνητής νοημοσύνης για τη λήψη αυτοματοποιημένων αποφάσεων επεκτείνεται συνεχώς τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, με σημαντικές επιπτώσεις για τα πρόσωπα που υπόκεινται σε αυτές
Επομένως, η παρούσα μελέτη εξετάζει τα μέσα έννομης προστασίας που διαθέτουν τα πρόσωπα που θίγονται από αποφάσεις που λαμβάνονται με τη χρήση ΤΝ. Η ανάλυση επικεντρώνεται στο δικαίωμα επεξήγησης της ατομικής λήψης απόφασης που προβλέπεται στο άρθρο 86 του Κανονισμού 2024/1689. Επειδή όμως η προστασία των θιγόμενων προσώπων δεν περιορίζεται αποκλειστικά στις εν λόγω διατάξεις, η ανάλυση εκτείνεται στο δικαίωμα αμφισβήτησης της ατομικής λήψης απόφασης που -υπό κατάλληλη ερμηνεία- ερείδεται στο άρθρο 22 του Κανονισμού 2016/679, γνωστού ως GDPR / ΓΚΠΔ.
H συγγραφική ομάδα της Μελέτης αποτελείται από δύο έξοχους νομικούς και μέλη – εθελοντές της Homo Digitalis τις (κατά αλφαβητική σειρά) Μαρία-Ευαγγελία Κωνσταντοπούλου και Στρατηγία-Δανάη Σκεύη.
Μπορείτε να διαβάστε την 4η μελέτη μας εδώ.
Θυμίζουμε ότι έχουμε δημοσιεύσει άλλες 3 μελέτες για τον Κανονισμό 2024/1689 και τη μεταφορά του στην ελληνική έννομη τάξη, τον Οκτώβριο (εκτίμηση αντικτύπου στα θεμελιώδη δικαιώματα), Νοέμβριο (διακυβέρνηση της ΤΝ και αρμόδιες αρχές εποπτείας) και Δεκέμβριο (απαγορευμένες πρακτικές) του 2024, αντίστοιχα.
Η εντατική αυτή προσπάθεια στοχεύει να συμβάλουμε εποικοδομητικά στο δημόσιο διάλογο στην Ελλάδα αλλά και σε επίπεδο ΕΕ στο πεδίο της τεχνητής νοημοσύνης, ενώ αποτελεί αποτέλεσμα της σημαντικής στήριξης του European Artificial Intelligence & Society Fund.
Πάσχα, νηστεία και εθισμός στα social media. Μήπως είναι η ευκαιρία μας για αποχή;
Γράφει η Μαρία Φουλεδάκη
Το Πάσχα είναι ευκαιρία αποτοξίνωσης – όχι μόνο από το κρέας, αλλά και από την υπερβολική χρήση των social media! Όπως προσέχουμε τι τρώμε, ας προσέξουμε και τι «καταναλώνουμε» ψηφιακά.
Σας παρουσιάζουμε λοιπόν 10 +1 Απλές και αποτελεσματικές στρατηγικές για να «νηστέψεις» από τα social media
1. Αυτοπαρατήρηση και περιορισμός της χρήσης των social media
Η αυτοπαρατήρηση είναι το πρώτο και σημαντικότερο βήμα. Παρακολουθήστε για μερικές μέρες, μέσω των εφαρμογών του κινητού σας τον χρόνο που καταναλώνεται στη χρήση των social media. Έπειτα ορίστε συγκεκριμένα χρονικά όρια ημερησίως. Η μέρες αυτές παρέχουν σημαντική βοήθεια καθώς θα βρεθούμε με φίλους, είτε από επιθυμία είτε από ανάγκη θα βγούμε από το σπίτι και το χώρο εργασίας μας. Είναι μια ευκαιρία να αφήσουμε το κινητό στην τσάντα ή στην τσέπη και να απολαύσουμε αυτές τις μέρες. Υπάρχουν εξάλλου πολλές εφαρμογές ιδιαίτερα διαδεδομένες που προσφέρουν εργαλεία παρακολούθησης χρόνου, όπως το forest (android, iOS) αλλά και τα ήδη ενσωματωμένα σε android Digital Wellbeing και για (iOS) Screen Time.
2. Αφαιρέστε εφαρμογές απότο κινητό σας
Τα smartphones μας μοιάζουν με το πασχαλινό τραπέζι. Είναι γεμάτα με εφαρμογές στην επιφάνεια τους, με αποτέλεσμα να είναι εξαιρετικά εύκολο το διαρκές «τσιμπολόγημα». Η διαγραφή από το smartphone μας κάποιων εφαρμογών, ώστε να έχουμε δυνατότητα πρόσβασης σε αυτήν μόνο από υπολογιστή ή από browser περιορίζει κατά συνθήκη σημαντικά την χρήση τους και κυρίως την αλόγιστη χρήση αυτών. Από το 2021 έχω διαγράψει την εφαρμογή Facebook από το κινητό μου, με αποτέλεσμα να το επισκέπτομαι πολύ περιορισμένα μέσα στην εβδομάδα και κυρίως πιο συνειδητά. Δεν εμφανίζονται πλέον notifications που να με αποσπούν απ’ οτιδήποτε άλλο κάνω. Μετά από τέσσερα χρόνια τολμώ να πώ ότι δεν έχω στερηθεί τίποτα από όσα μπορεί να μου προσφέρει το συγκεκριμένο μέσο κοινωνικής δικτύωσης.
3. Η καλή μέρα απότο πρωί φαίνεται
Ξεκινήστε την ημέρα σας μακριά από οθόνες! Οκ, κλείστε το ξυπνητήρι πρώτα… Έρευνες έχουν δείξει πόσο ωφέλιμη είναι για την σωματική και ψυχική υγεία η πρωινή άσκηση. Η άσκηση δεν είναι απαραίτητο να είναι αυτή του Ολυμπιονίκη, ακόμα και μερικές ασκήσεις stretching ή ένας δεκάλεπτος περίπατος γύρω από το τετράγωνο εκτός από μια αναζωογονητική συνήθεια είναι και ένας εξαιρετικός τρόπος απεμπλοκής από τη χρήση του κινητού ή του υπολογιστή χωρίς ακόμα να έχεις πιει την πρώτη γουλιά καφέ. Φορέστε τα ακουστικά σας, βάλτε την αγαπημένη σας playlist και περπατήστε ακόμα και για ελάχιστο χρόνο. Τα αποτελέσματα θα είναι άμεσα και θα σας ενθουσιάσουν.
4. Επιλέξτε τι θα παρακολουθείτε
Αφιερώστε λίγο χρόνο για να ελέγξετε την «προσωπικότητα» των socialmedia σας. Ανατρέξτε στους «φίλους» σας στο Facebook και Instagram αλλά και τις προτιμήσεις σας στο Tik Tok και κάντε ένα γερό ξεσκαρτάρισμα. Όλοι μας ακολουθούμε σελίδες που ίσως είχαν ένα ενδιαφέρον το 2007 που ξεκινήσαμε να έχουμε Social Media οι οποίες πλέον δεν παρουσιάζουν κάτι το συγκλονιστικό ή δραστήριους διαδικτυακούς φίλους που το περιεχόμενο τους δεν μας ενδιαφέρει και εμφανίζονται διαρκώς στο timeline μας. Με τον καιρό, οι λογαριασμοί που ακολουθούμε μπορεί να συσσωρεύονται χωρίς ιδιαίτερη σκέψη. Μια στοχευμένη εκκαθάριση μπορεί να κάνει την εμπειρία σας στα social media πιο υγιή και ουσιαστική. Αφαιρέστε ή κάντε mute λογαριασμούς και φίλους που:
- Δεν συνδέεστε πια μέσα από κοινά ενδιαφέροντα ή αλληλεπίδραση.
- Τους ακολουθήσατε από συνήθεια ή εκ παραδρομής.
Η μείωση των ψηφιακών «θορύβων» σας βοηθά να αποκτήσετε ένα πιο «καθαρό» και θετικό feed, και να εστιάζετε σε ό,τι πραγματικά έχει αξία για εσάς
5. Καθιερώστε μια «ψηφιακή αποτοξίνωση» ημέρας
Οι ανοιξιάτικες Κυριακές είναι η καλύτερη ευκαιρία! Ακόμα κι αν δεν υπάρχει η δυνατότητα εκδρομής και φαγητού με φίλους, η Κυριακή απόμόνη της προσφέρει την αίσθηση της χαλάρωσης. Επιλέξτε την Κυριακή, που -ελπίζω- να ξυπνάτε λίγο πιο αργά, αγοράστε μια Κυριακάτικη εφημερίδα, ξεφυλλίστε τα περιοδικά της, μαγειρέψτε κάτι διαφορετικό, κάντε μια όμορφη βόλτα είτε με το αυτοκίνητο είτε με τα πόδια και αφήστε το κινητό στο σπίτι (εφόσον πάντα οι συνθήκες το επιτρέπουν)
6. Γίνετε πιο δημιουργικοί
Προς θεού, δεν ζητάμε να παρουσιάσετε το Πάσχα του 2026 την έκθεση ζωγραφικής σας. Η δημιουργικότητα μπορεί να έχει πολλές εκφάνσεις. Κλείστε το κινητό και αλλάξτε την διακόσμηση σε ένα χώρο του σπιτιού σας, ακόμα και με πράγματα που υπάρχουν ήδη στο σπίτι. Αναζητήστε στο κινητό σας παλιές φωτογραφίες ή φωτογραφίες με φίλους και ωραίες αναμνήσεις και διαμορφώστε ένα ψηφιακό άλμπουμ, φυτέψτε λουλούδια στο μπαλκόνι σας και δείτε να μεγαλώνουν, ζωγραφίστε κούπες και άλλες τόσες απλές και εύκολες ιδέες που μπορούν να σας απασχολήσουν και να ομορφύνουν την καθημερινότητα σας.
7. Εμπλέξτε φίλους ή οικογένεια
Συμφωνήστε με έναν φίλο να κάνετε μαζί ένα διάλειμμα από τα μέσα κοινωνικής δικτύωσης και ενθαρρύνετε ο ένας τον άλλον. Επικοινωνήστε την πρόοδο σας αλλά και τα οφέλη της και κάντε «brainstorming» για τις εναλλακτικές σας. Το γεγονός ότι δεν είστε μόνοι σας σε αυτήν την προσπάθεια θα βοηθήσει σημαντικά, όπως θα βοηθήσει και η εμπιστοσύνη που έχετε δείξει ο ένας στον άλλο για την επίτευξη του κοινού στόχου.
8. Think before you post
Σκεφτείτε σοβαρά οποιοδήποτε post σας. Πριν μοιραστείτε κάτι είτε αυτό είναι μια ευχάριστη στιγμή, είτε κάποιο επίτευγμα σαςείτε μια είδηση, αναρωτηθείτε γιατί το κάνετε. Πριν μοιραστείτε κάτι, ρωτήστε τον εαυτό σας: «Γιατί το κάνω;» Η ενσυνείδητη χρήση μειώνει τη μηχανική εξάρτηση και ενισχύει την προσωπική αυθεντικότητα.
9. Επιστροφή στην περίοδο πριν τα social media
Πως περνάγαμε άραγε τα καλοκαίρια μαςπριν τα social media, πως κρατούσαμε τις αναμνήσεις ζωντανές, ποιες είναι οι μυρωδιές μας και οι αισθήσεις μας από την προηγούμενη εικοσαετία. Ας δώσουμε την ευκαιρία σε ένα καλό βιβλίο, την αίσθηση του οποίου δεν μπορεί να αντικαταστήσει ούτε το καλύτερο e-book, ας ενωθούμε με την φύση ή ακόμα κι αν είναι δύσκολο αυτό ας αφουγκραστούμε τους ήχους της μεγαλούπολης μας, ας παρακολουθήσουμε διακριτικά και με ενσυναίσθηση τους ανθρώπους γύρω μας, τα χρώματα και τα ιδιαίτερα χαρακτηριστικά των κατά τ’ άλλα γκρίζων πολυκατοικιών, ας πλάσουμε ιστορίες με φαντασία ή χωρίς, ας μιλήσουμε με τους ανθρώπους μας με το κινητό στο αθόρυβο, ας τους ακουμπήσουμε, ας τους αφουγκραστούμε. Είναι τόσο ξεχωριστοί οι καφέδες όταν έχει κλείσει το κινητό μας από μπαταρία άρα το story θα ανέβει ετεροχρονισμένα και τα notification θα ελεγχθούν μετά από ώρα.
10. Manifest Your Digital Freedom
Αντί να δεις την αποτοξίνωση σαν στέρηση, δες την ως ευκαιρία να οραματιστείς τη σχέση που θέλεις να έχεις με το διαδίκτυο. Φαντάσου τον εαυτό σου να χρησιμοποιεί τα social media με μέτρο, μόνο για πράγματα που σου δίνουν χαρά, γνώση και έμπνευση. Γράψε σε ένα χαρτί πώς θα ήθελες να μοιάζει η καθημερινότητά σου χωρίς το άγχος της υπερσύνδεσης. Και κάθε μέρα, κάνε ένα μικρό βήμα πιο κοντά σε αυτό το όραμα. Το κλειδί δεν είναι να «κόψεις» κάτι, αλλά να δημιουργήσεις μια νέα ψηφιακή πραγματικότητα που να σε εκφράζει.
+1. Δώσε χρόνο
Η αλλαγή συνηθειών και μάλιστα τόσο έντονων και πολλές φορές απαραίτητων για την κοινωνική μας υπόσταση είναι μια αρκετά δύσκολη και ίσως κάποιες φορές επίπονη προσπάθεια. Κάθε μέρα που θα περιορίζεις έστω και ελάχιστα την χρήση των social media θα είναι μια μικρή νίκη.
Τα social media είναι ένα σπουδαίο τεχνολογικό επίτευγμα το οποίο μας παρέχεται δωρεάν (ή όχι και τόσο δωρεάν αν αναλογιστεί κανείς ότι το πληρώνουμε με τα προσωπικά μας δεδομένα), μας συνδέει με φίλους από μακριά, μας παρέχει σημαντική γρήγορη πληροφόρηση. Ωστόσο, ακόμα και μία μικρή αλλαγή μπορεί να κάνει τη διαφορά. Η κάθε μέρα που αποφεύγεις τη συνεχιζόμενη χρήση των social media είναι μια νίκη για τον εαυτό σου"
Με επιτυχία ολοκληρώθηκαν σημαντικές δράσεις ευαισθητοποίησης στη Λάρισα τη περίοδο Φεβρουάριος – Μάρτιος
Το μέλος μας Τάσος Αραμπατζής εκπροσώπησε με μεγάλη επιτυχία τη Homo Digitalis παραχωρώντας μία σειρά από δράσεις ευαισθητοποίησης και εκπαίδευσης στη Λάρισα, εθελοντικά.
Συγκεκριμένα, σε συνεργασία με την Φρόσω Κτιστάκη – διδάκτορα και καθηγήτρια πιάνου – παραχώρησαν μία εκπαιδευτική παρουσίαση με θέμα την Κυβερνοασφάλεια, τη Μουσική και τα Ανθρώπινα Συναισθήματα. Στο πλαίσιο αυτό, μίλησαν για τον ανθρώπινο παράγοντα της κυβερνοαφάλειας, τον αντίκτυπο της παραβίασης των προσωπικών δεδομένων και πως η μουσική μπορεί να βοηθήσει. Η εκδήλωση έλαβε χώρο στο Λύκειο Πυργετού στις 24 Φεβρουαρίου.
Επίσης, ο Τάσος εκπροσώπησε τη Homo Digitalis μιλώντας στους μαθητές Ε και Στ τάξεων δύο συστεγαζόμενων Δημοτικών Σχολείων στην Λάρισα, του 15ου και 43ου στο τέλος Μαρτίου. Το αντικείμενο της παρουσίασης ήταν το cyber bullying.
Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook
Γράφει η Μαρία Κατσιώτη
Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.
Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;
Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).
Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.
Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).
Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;
Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.
Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:
- «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
- “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
- “Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR)”. Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
- «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».
Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:
- 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
- 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
- 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
- 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
- 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.
Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:
- Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
- Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
- Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
- Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
- Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
- Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).
Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.
Βιβλιογραφία - Αναφορές
Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.
Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.
Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.
Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.
*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.