Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook

Γράφει η Μαρία Κατσιώτη

Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.

Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;

Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).

Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.

Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).

Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;

Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές  τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.

Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:

  • «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
  • Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
  • Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR). Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
  • «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».

Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:

  • 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
  • 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
  • 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
  • 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
  • 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.

Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:

  • Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
  • Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
  • Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
  • Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
  • Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
  • Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).

Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.

Βιβλιογραφία - Αναφορές

Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.

Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.

Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.

Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.

*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.


Συνέντευξη της Homo Digitalis στο Η ΝΑΥΤΕΜΠΟΡΙΚΗ TV και την εκπομπή "REVIEW" του Τάκη Σπηλιόπουλου

Χθες το απόγευμα η Homo Digitalis παραχώρησε συνέντευξη στην εκπομπή του δημοσιογράφου Τάκη Σπηλιόπουλου REVIEW στο κανάλι της Η ΝΑΥΤΕΜΠΟΡΙΚΗ.

Ο Λευτέρης Χελιουδάκης εκπροσώπησε την ομάδα μας, μιλώντας για τις δράσεις μας στους τομείς της ενημέρωσης και της συνδιαφόρφωσης πολιτικών αποφάσεων, σε μία πολύ ενδιαφέρουσα συζήτηση! Εκεί κάναμε αναφορά σε μία σειρά από ζητήματα, όπως η στοχευμένη εμπορική διαφήμιση, ο εθισμός και η νομοθεσία για την τεχνητή νοημοσύνη.

Ακόμη μιλήσαμε για τις ανοιχτές αιτήσεις χρηματοδότησεις του NGI – The Next Generation Internet προγράμματος NGI TALER, το οποίο συγχηματοδοτείται από την Ευρωπαϊκή Επιτροπή και αποσκοπεί στη δημιουργία μία πλατφόρμας ψηφιακών πληρωμών που είναι απόλυτα προσανατολισμένη στην ιδιωτικότητα των χρηστών και αναπτυγμένη με τις αρχές του ελεύθερου λογισμικού (αιτήσεις εδώ).

Την ίδια ημέρα φιλοξενήθηκαν στην εκπομπή μία σειρά από ενδιαφέρουσες συζητήσεις, συμπεριλαμβανομένων εκείνων του Αντώνη Μπαλλή – Επίκουρου Καθηγητή Χρηματοοικονομικής Τεχνολογίας για το φυσικό χρήμα και τις ψηφιακές συναλλαγές, καθώς και του Υπουργού Ψηφιακής Διακυβέρνησης Δημήτρη Παπαστεργίου.

Ευχαριστούμε θερμά για την ευγενική και τιμητική πρόσκληση και τη δημοσιογραφική ομάδα του καναλιού, συμπεριλαμβανομένης της κας. Λιάνα Θάνου.

Μπορείτε να δείτε το πλήρες σχετικό απόσπασμα εδώ.

 


Από την Απόκρυψη στη Διαφάνεια: Η Πενταετής Μάχη για τη Δημοσίευση των Αποφάσεων της ΕΛ.ΑΣ. για χρήση φορητών καμερών

Οι στρατηγικές νομικές δράσεις απαιτούν χρόνο, αλλά τα αποτελέσματά τους ωφελούν το σύνολο της κοινωνίας, ενισχύοντας την εμπιστοσύνη των πολιτών στους θεσμούς.

Τον Δεκέμβριο του 2020, η Homo Digitalis, σε συνεργασία με τους Reporters United και The Press Project, απευθύνθηκε στον τότε Αρχηγό της Ελληνικής Αστυνομίας, ζητώντας πρόσβαση στις αποφάσεις λειτουργίας drones και άλλων φορητών καμερών σε δημόσιους χώρους, όπως προβλέπει το άρθρο 12 του Προεδρικού Διατάγματος 75/2020. Παρά τη νομική υποχρέωση για δημόσια ανάρτηση αυτών των αποφάσεων, η ΕΛ.ΑΣ. αρνήθηκε να παράσχει πρόσβαση, παραβλέποντας τη διαφάνεια που επιβάλλει η νομοθεσία.

Λίγους μήνες αργότερα, τον Μάιο του 2021, καταθέσαμε καταγγελία από κοινού ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για την επανειλημμένη μη συμμόρφωση της ΕΛ.ΑΣ. με τη νομοθεσία – τουλάχιστον 67 φορές μέσα σε λίγους μήνες. Η ΑΠΔΠΧ ξεκίνησε σχετική έρευνα, εξετάζοντας τη νομιμότητα της πρακτικής αυτής.

Στις αρχές του 2024, καταθέσαμε αίτημα πρόσβασης σε έγγραφα της ΑΠΔΠΧ, με σκοπό να ενημερωθούμε για την πορεία της έρευνας. Από την αλληλογραφία μεταξύ ΕΛ.ΑΣ. και ΑΠΔΠΧ, προέκυψε ότι, ακόμα και τον Μάρτιο του 2024, η ΕΛ.ΑΣ. συνέχιζε να υποστηρίζει πως το ΠΔ 75/2020 δεν την υποχρεώνει στη δημοσίευση των αποφάσεων λειτουργίας των καμερών, παρά την αντίθετη άποψη της ΑΠΔΠΧ.

Χθες, στο πλαίσιο σχετικού ρεπορτάζ του δημοσιογράφου Γιάννη Μπαζαίου και της Εφημερίδας των Συντακτών, πληροφορηθήκαμε για πρώτη φορά ότι σχετική απόφαση χρήσης φορητών συστημάτων είχε αναρτηθεί στην ιστοσελίδα της ΕΛ.ΑΣ. Πράγματι, με μία αναζήτηση εκεί διαπιστώθηκε ότι από τις 17 Φεβρουαρίου 2025 και έπειτα, η ΕΛ.ΑΣ. άλλαξε την πρακτική της και ξεκίνησε να δημοσιεύει τις αποφάσεις αυτές, όπως προβλέπει ο νόμος. Το ρεπορτάζ δημοσιεύθηκε σήμερα και βρίσκεται διαθέσιμο εδώ.

Από την αρχική άρνηση της ΕΛ.ΑΣ. το 2020, χρειάστηκαν πέντε χρόνια για να επιτευχθεί αυτή η αλλαγή. Αναμένουμε με ενδιαφέρον την τελική απόφαση της ΑΠΔΠΧ και την ολοκλήρωση της έρευνάς της, που θα θέσουν ένα οριστικό πλαίσιο στη διαφάνεια και τη λογοδοσία των αρχών.

 


Συνέντευξη της Homo Digitalis στον ΑΝΤ1 στην εκπομπή "Η επιχείριση σου μπορεί" της Φαίης Χρυσοχόου

Την Κυριακή 9 Μαρτίου η Homo Digitalis φιλοξενήθηκε στην εκπομπή “Η επιχείριση σου μπορεί” του ANT1 της δημοσιογράφου Φαίης Χρυσοχόου. Ευχαριστούμε τη δημοσιογράφο και την ομάδα της, Toni Aravadinos, για την ευγενική πρόσκληση και το ενδιαφέρον στις δράσεις μας!

Εκεί, ο Λευτέρης Χελιουδάκης εκπροσώπησε την οργάνωσή μας, μιλώντας για την τεχνητή νοημοσύνη και τη σημασία της νομοθεσίας ως μοχλό καινοτομίας, εμπιστοσύνης και επιχειρηματικότητας.

Είναι πραγματικότητα δυστυχώς, ότι πολλές επιχειρήσεις τεχνολογίας εκτός ΕΕ, βασίστηκαν και γιγαντώθηκαν με βάση το μοντέλο “Move fast and break things”, το οποίο τους οδήγησε μακροπρόθεσμα στο να τους καταλογιστούν πληθώρα παραβάσεων και προστίμων από τις ευρωπαϊκές εποπτικές αρχές και τα δικαστήρια ευρωπαϊκών κρατών, αλλά κυριότερα στο να πολώσουν τις κοινωνίες μας και να μας οδηγήσουν στον εθισμό στα μέσα κοινωνικής δικτύωσης και την παραπληροφόρηση.

Αντίθετα, η συμμόρφωση με την νομοθεσία μπορεί να οδηγήσει τις επιχειρήσεις σε να ανταγωνιστικό πλεονέκτημα, καθώς θέτει γερές οργανωτικές βάσεις και ανοίγει τον δρόμο για την ενιαία ψηφιακή αγορά. Οπότε, η νομοθεσία δεν περιορίζει το επιχειρείν, αλλά αντιθέτως συμβάλει στην ανάπτυξη του με βιώσιμο τρόπο, με τα οφέλη μακροπρόθεσμα για τις επιχειρήσεις και τις δημοκρατικές κοινωνίες μας να είναι πολλαπλά.

 


Τι συμβαίνει με τις 1000 φορητές smart policing συσκευές της ΕΛ.ΑΣ. 5 χρόνια μετά την καταγγελία μας ενώπιον της ΑΠΔΠΧ;

Τι συμβαίνει με τις 1000 φορητές συσκευές της Ελληνικής Αστυνομίας του προγράμματος Smart Policing που κάνουν χρήση τεχνολογιών τεχνητής νοημοσύνης και κόστισαν 4 εκατ. ευρώ (spoiler alert: δεν ειναι καλά τα νέα);

H δημοσιογράφος Ευτυχία Σουφλερή γράφει ένα λεπτομερές άρθρο για το NEWS247.gr (THE MAGAZINE) ρίχνοντας φως στην υπόθεση, υπογραμμίζοντας τις σημαντικές σχετικές δράσεις της Homo Digitalis ήδη από το 2019! Δηλώσεις για την οργάνωσή μας παραχώρησε ο Εκτελεστικός Διευθυντής μας, Λευτέρης Χελιουδάκης.

Συγκεκριμένα, σημαντικές αποκαλύψεις βλέπουν το φως της δημοσιότητας για πρώτη φορά! Η ΕΛ.ΑΣ. με βάση το ρερπορτάζ και ενώ δεν υπάρχει κανένας νόμος που να της το επιτρέπει, μεταξύ άλλων:

– αναφέρει ότι χρησιμοποιεί επιχειρησιακά τις συσκευές ήδη από το 2021, παρά το γεγονός οτι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα την ερευνά από τον Αύγουστο του 2020 έως και σήμερα σχετικά,
-επιβεβαιώνει πως κάνει πλήρη χρήση και των δυνατοτήτων βιομετρικής επεξεργασίας των συσκευών αυτών(αναγνώριση προσώπων, αναγνώριση αποτυπωμάτων), και
-επικυρώνει τα όσα περιγράφονταν στο τεύχος τεχνικών προδιαγραφών του 2018, ότι δηλαδή χρησιμοποιεί τις συσκευές για “προληπτική αστυνόμευση”, με τα στοιχεία που συλλέγονται να μπορούν να αξιοποιηθούν μελλοντικά για την εξαγωγή συσχετισμών, συμπερασμάτων και προβλέψεων μέσω διαδικασίας ανάλυσης.

Αναμένουμε την Απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), και την ολοκλήρωση της έρευνάς της που πλέον έχει συμπληρώσει περισσότερα από 4 χρόνια και 7 μήνες (εκκίνησε τον Αύγουστο του 2020), καθώς οι εξελίξεις είναι ραγδαίες και οι κίνδυνοι για τη Δημοκρατία και τη Προστασία των Δικαιωμάτων του Ανθρώπου είναι άκρως υψηλοί!

Ευχαριστούμε τη δημοσιογράφο για το ενδιαφέρον της στις δράσεις μας! Μπορείτε να διαβάσετε το άρθρο εδώ.

 


Συνδιοργανώνουμε εκδήλωση για τη Κυβερνοασφάλεια και την προστασία προσωπικών δεδομένων στο Πάρκο Καινοτομίας JOIST στη Λάρισα!

Στις 20 Μαρτίου 2025 και ώρα 18:00 – 20:30 η Homo Digitalis έχει τη μεγάλη χαρά να συνδιοργανώνει και να συμμετέχει στην εκδήλωση “Κυβερνοασφάλεια και προστασία προσωπικών δεδομένων: Ανθεκτικότητα, Συμμόρφωση, Καινοτομία” στο Πάρκο Καινοτομίας JOIST στη Λάρισα!

Στόχος της εκδήλωσης είναι η ευαισθητοποίηση και ενδυνάμωση των επιχειρήσεων όλων των κλάδων και μεγεθών ώστε να μπορούν να γίνουν ανθεκτικές και να καινοτομούν με ασφάλεια και σεβασμό στα δικαιώματα των πολιτών.

Στην εκδήλωση θα συμμετέχουν ως ομιλητές/ομιλήτριες :
ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μιχαήλ Μπλέτσας.
ο  Παναγιώτης Σούλος Μέλος του ISC2 Hellenic Chapter, Information Security GRC Senior Manager στην STEELMET Corporate Services,
η Λαμπρινή Γυφτοκώστα, Διευθύντρια Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης της Homo Digitalis,
o Γιάννης Κούκουρας Μέλος του ISC2 Hellenic Chapter, Managing Director στην TwelveSec TwelveSec, και
η Karina Iskandarova, Ιδρύτια της CharismaWorks

⌛ Συντονίζει ο Αναστάσιος Αραμπατζής από Bora – Cybersecurity Marketing και Homo Digitalis.

Δηλώστε συμμετοχή δωρεάν εδώ.

 


Διάβασε τον Οδηγό Τσέπης για προστασία της ιδιωτικότητάς σου σε πορείες

Δύο χρόνια συμπληρώνονται σήμερα, Παρασκευή 28 Φεβρουαρίου, από την τραγωδία των Τεμπών, με απεργίες και στάσεις εργασίας να έχουν προγραμματιστεί σε όλη την χώρα και στο εξωτερικό τόσο για να τιμηθεί η μνήμη των 57 θυμάτων του σιδηροδρομικού δυστυχήματος όσο και για να αποδοθεί δικαιοσύνη και να τιμωρηθούν οι υπεύθυνοι.

Τι συμβαίνει όμως με τις συσκευές σου και τα προσωπικά δεδομένα σου και πως μπορείς να πάρεις μέτρα για να διασφαλίσεις την προστασία τους σε μία πορεία διαμαρτυρίας;

Η Homo Digitalis από κοινού με τη Software Makers, ΑΜΚΕ με έδρα το Ηράκλειο της Κρήτης, μετέφρασαν και προσάρμοσαν το σύντομο οδηγό τσέπης του Electronic Frontier Foundation (EFF) στα ελληνικά δεδομένα παρέχοντας ορισμένα βήματα που μπορείτε να κάνετε πριν, κατά τη διάρκεια και μετά από μια διαμαρτυρία, τα οποία θα σας βοηθήσουν να διατηρήσετε τον εαυτό σας και τα δεδομένα σας πιο ασφαλή.

Δείχνουμε την αλληλεγγύη μας και τη αμέριστη συμπαράστασή μας!

Το κείμενο του οδηγού βρίσκεται διαθέσιμο προς εκτύπωση εδώ.

 


4 εκατομμύρια ευρώ ξόδεψε η ΕΛ.ΑΣ. για να κόβει κλήσεις Κ.Ο.Κ.

Πίσω στο 2019, ξεκινήσαμε μία από τις πρώτες μας δράσεις στον τομέα της τεχνητής νοημοσύνης, φέρνοντας στο φως το πρόγραμμα Smart Policing της Ελληνικής Αστυνομίας με την Intracom-Telecom.

Σκοπός του; Η αγορά 1.000 φορητών συσκευών που θα επέτρεπαν λειτουργίες αναγνώρισης προσώπου, αποτυπωμάτων, εγγράφων και πινακίδων σε αστικά κέντρα κατά τη διάρκεια αστυνομικών ελέγχων.

Κινηθήκαμε άμεσα, και ζητήσαμε τον Μάρτιο του 2020 από την Αρχή Προστασίας Δεδομένων να ερευνήσει την υπόθεση, καθώς κατά την νομική μας ανάλυση, η επεξεργασία βιομετρικών δεδομένων στο πλαίσιο χρήσης των συσκευών δεν θα ήταν νόμιμη.

Από τον Αύγουστο του 2020, η Αρχή ερευνά την υπόθεση, το Κράτος πλήρωσε τα 4 εκατομμύρια ευρώ, και η εταιρία παρέδωσε τις συσκευές στην ΕΛ.ΑΣ. Η τελευταία εξέλιξη ήταν τον Οκτώβριο του 2024, όταν η ΕΛ.ΑΣ. αποφάσισε ξεκινώντας από το πρώτο τρίμηνο του 2025 να χρησιμοποιεί τις λειτουργίες αναγνώρισης εγγράφων/πινακίδων των συσκευών για να βεβαιώνει παραβάσεις του Κ.Ο.Κ.

Χαιρόμαστε που η άμεση κινητοποίηση μας, και η έρευνα της ΑΠΔΠΧ έβαλε στον πάγο τη χρήση των παρεμβατικών λειτουργιών αναγνώρισης προσώπου και αποτυπωμάτων των συσκευών αυτών, αλλά πρέπει άμεσα να δημοσιευθεί η σχετική απόφαση της Αρχής σχετικά.

Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης οτι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.

Μπορείτε να διαβάσετε περισσότερα σχετικά στην τελευταία μας μελέτη για την AI Act, σελ.51-54 εδώ.

 


Data Privacy Framework - Ένα Χρόνο Μετά: Το Παιδί Περπάτησε (Μάλλον) προς Λάθος Κατεύθυνση...

Γράφουν οι Χρήστος Μακρής και Φωτεινή Κακαβά*

Τα πρώτα μας γενέθλια ήταν πάντοτε τα πιο σημαντικά. Μέσα σε ένα χρόνο ζωής, οι περισσότεροι από εμάς βιώσαν τεράστιες αλλαγές. Άλλοι περπάτησαν, άλλοι μίλησαν, όλοι γέλασαν και όλοι έκλαψαν.

Κάπως έτσι πρέπει να αξιολογήσουμε και το «θεσμικό τέκνο» που προέκυψε από μια δυσλειτουργική σχέση ετών μεταξύ ΕΕ και ΗΠΑ: την απόφαση επάρκειας του άρθρου 45 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) που αφορά την διατλαντική διαβίβαση των προσωπικών μας δεδομένων ως Ευρωπαίοι πολίτες. Το Data Privacy Framework (DPF) συμπλήρωσε ένα έτος ζωής στις 10 Ιουλίου 2024 και έτσι οι «γονείς» αποφάσισαν να μαζευτούν στις 18-19 Ιουλίου 2024 στην Ουάσιγκτον, προκειμένου να αξιολογήσουν την πορεία ανάπτυξης του τέκνου τους.

Προκειμένου δε να καθησυχάσουν το κοινό τους ότι όλα πάνε ή θα πάνε καλά, αποφάσισαν να συντάξουν μία έκθεση ελέγχου των πεπραγμένων, με βάση στοιχεία που παρείχαν οι αρμόδιες υπηρεσίες της κυβέρνησης των Ηνωμένων Πολιτειών και με την συμμετοχή διάφορων αμερικανικών ΜΚΟ που προασπίζονται τα ανθρώπινα δικαιώματα σε θέματα ψηφιακών δικαιωμάτων και όχι μόνο.

Το αποτέλεσμα ήταν ένα κείμενο 21 σελίδων, το οποίο υποβλήθηκε στις 9 Οκτωβρίου 2024 από την Ευρωπαϊκή Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Ευρωπαϊκό Συμβούλιο προς αξιολόγηση.

Ας κάνουμε όμως εδώ μία παύση, για να φρεσκάρουμε λίγο την μνήμη μας. Το Data Privacy Framework (DPF) δεν είναι το μοναδικό τέκνο ΕΕ και ΗΠΑ. Έχουν προηγηθεί δύο ατελέσφορες προσπάθειες:  EU–US Safe Harbor Principles και Privacy Shield Framework. Γιατί ατελέσφορες; Γιατί και οι δύο αντίστοιχα ακυρώθηκαν από το Ευρωπαϊκό Δικαστήριο μετά από προσφυγή σε αυτό του υπέρμαχου για τα προσωπικά δεδομένα και το δικαίωμα στην ιδιωτικότητα, Max Schrems.

Η παράνομη απενεργοποίηση των ανεξάρτητων εποπτικών Αρχών από την αξιολόγηση της ορθής εφαρμογής των αποφάσεων επάρκειας, η επί της ουσίας κατάργηση του θεμελιώδους δικαιώματος για προστασία των δεδομένων μας με βάση το άρθρο 8 της Ευρωπαϊκής Χάρτας Θεμελιωδών Δικαιωμάτων, καθώς και η αδυναμία πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στις ΗΠΑ, αποτέλεσαν θεμέλιους λίθους στο σκεπτικό των αποφάσεων που έκριναν την ακύρωση των δύο προηγούμενων αποφάσεων επάρκειας.

Τι διαφορετικό όμως έχει η παρούσα απόφαση επάρκειας σε σχέση με τις προηγούμενες; Από που απορρέει η νομιμότητα της και τι είναι αυτό που την καθιστά στο απυρόβλητο; Οι απαντήσεις κρύβονται στην πολυαναμενόμενη ετήσια έκθεση ελέγχου της Ευρωπαϊκής Επιτροπής που δημοσιεύθηκε στις 9 Οκτωβρίου 2024 και η οποία κρίνει (κατά πολύ) την μελλοντική πορεία της απόφασης επάρκειας.

Εν τέλει, ως συντάκτες του άρθρου, μπήκαμε στον κόπο να την διαβάσουμε από κοινού και να μεταφέρουμε την προσωπική μας άποψη σε σχέση με τα μέχρι σήμερα πεπραγμένα, ξεκινώντας πάντα από δύο απλές παραδοχές: (α) οι ΗΠΑ δεν έχουν κωδικοποιημένη νομοθεσία αντίστοιχη με τον ΓΚΠΔ και την Ευρωπαϊκή Χάρτα Θεμελιωδών Δικαιωμάτων, και επομένως δεν χωρεί νομοθετική αντιπαραβολή και (β) είναι τόσες οι Επιτροπές, Υποεπιτροπές, Υπηρεσίες, Γραφεία και Πάνελ Ειδικών στην δαιδαλώδη κυβέρνηση των Ηνωμένων Πολιτείων, που σε πιάνει πονοκέφαλος όταν προσπαθείς να βάλεις σε μία σειρά ποιος είναι υπεύθυνος για τι.

Προσπερνώντας λοιπόν τα ως άνω, η ανάγνωση της έκθεσης ελέγχου δεν ήταν τόσο δύσκολη. Ήταν απλά γεμάτη με ευχές από την Ευρωπαϊκή Επιτροπή να μεγαλώσει το παιδί με σωστές αρχές και να πάρει το δρόμο τον σωστό, βγάζοντάς μας ασπροπρόσωπους στην κοινωνία (βέβαια εκ των πραγμάτων από την ανάγνωση του DPF την πλήρη επιμέλεια του τέκνου την διατηρούν οι ΗΠΑ – με ό,τι σημαίνει αυτό, και απλά έχουν από κοινού την γονική μέριμνα με την ΕΕ).

Από κανένα σημείο της έκθεσης ελέγχου δεν προέκυψε πως προστατεύονται τα θεμελιώδη δικαιώματα των Ευρωπαίων πολιτών από πρακτικές επιτήρησης των Υπηρεσιών Ασφαλείας των ΗΠΑ, παρά μόνο εκφράστηκαν ανησυχίες από τις ΜΚΟ που συμμετείχαν στην διαβούλευση ότι οι Υπηρεσίες Ασφαλείας πλέον αγοράζουν δεδομένα πολιτών από εταιρείες του ιδιωτικού τομέα στα πλαίσια των πρακτικών παρακολούθησης. Το κείμενο της έκθεσης ελέγχου επικεντρώνει κυρίως σε εντατικές προσπάθειες επιμόρφωσης των Αμερικανών πρακτόρων των Υπηρεσιών Ασφαλείας, προκειμένου να ενημερωθούν για το πλαίσιο συμφωνίας της απόφασης επάρκειας και να συμμορφώνονται οικειοθελώς (;!) με τις αρχές της ελαχιστοποίησης των δεδομένων και της αναλογικότητας με βάση τον σκοπό της επεξεργασίας. Κοινώς, δεοντολογικά ευχολόγια.

Επιπλέον, σε σχέση με τις πολύ μεγάλες πλατφόρμες (Google, Meta), οι οποίες έχουν βρεθεί στο επίκεντρο της διαμόρφωσης των αποφάσεων επάρκειας μεταξύ ΕΕ-ΗΠΑ, γίνεται αναφορά ότι δημοσιοποιούν τα στοιχεία των αιτημάτων που έχουν δεχθεί από τις Υπηρεσίες Ασφαλείας κατά την διάρκεια του έτους στα πλαίσια διαφάνειας των εν λόγω διεργασιών. Παρ’ όλα αυτά, όταν μπήκαμε στην αντίστοιχη σελίδα της Google ανακαλύψαμε  ότι η λεγόμενη διαφάνεια εκτεινόταν σε απλά στατιστικά νούμερα και με ένα προοίμιο ότι «Σε αυτή την αναφορά αιτημάτων εθνικής ασφάλειας των ΗΠΑ, αναφέρουμε ξεχωριστά τα αιτήματα από φορείς των ΗΠΑ που χρησιμοποιούν τη νομοθεσία εθνικής ασφάλειας επειδή αυτή η νομοθεσία περιορίζει τόσο τον όγκο των πληροφοριών που επιτρέπεται να κοινοποιούμε εμείς και άλλες εταιρείες πληροφοριών όσο και τη χρονική στιγμή που μπορούμε να τις κοινοποιήσουμε». Επομένως, άνθρακες ο θησαυρός.

Εν τέλει, κανείς δεν μπορεί να απαντήσει το κρισιμότερο ερώτημα όλων: πως μπορεί ένας Ευρωπαίος πολίτης να ασκήσει στις ΗΠΑ το κατοχυρωμένο δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας του άρθρου 79 ΓΚΠΔ; Απλά, δεν μπορεί. Το Data Protection Review Court (DPRC) (η σύσταση του οποίου συμφωνήθηκε μεταξύ ΕΕ – ΗΠΑ για να εκπληρωθεί το δικαίωμα δικαστικής προσφυγής) δεν είναι δικαστήριο, είναι μία διαδικασία δύο επιπέδων, όπως περιγράφεται στον ιστότοπο του Υπουργείο Δικαιοσύνης των ΗΠΑ, το οποίο μπορεί να επιβάλει την κατάλληλη αποκατάσταση (appropriate remediation) σε βάρος των εταιρειών που παραβιάζουν την απόφαση επάρκειας. Άμεση αποκατάσταση της παραβίασης δικαιωμάτων σε βάρος των υποκειμένων επεξεργασίας δεν υπάρχει. Δικαιώματα όπως αυτό της πρόσβασης, της λήθης, της διόρθωσης, του περιορισμού της επεξεργασίας και της εναντίωσης,  δεν μπορούν να εξασκηθούν πέραν από τα διοικητικά όρια της ΕΕ. Επομένως, καμία έκθεση ελέγχου και κανένα στατιστικό δεδομένο δεν μπορούν να δώσουν λύσεις στα καίρια αυτά προβλήματα.  Όποιος από εσάς θέλει, μπορεί να διαβάσει την εν λόγω έκθεση ελέγχου εδώ.

Χωρίς να θέλουμε να υποτιμήσουμε την προσπάθεια όλων όσων συμμετείχαν στην σύνταξη του εν λόγω εγγράφου, δεν μπορούμε να βρούμε κάτι ουσιαστικό σε αυτό που να χρήζει περαιτέρω αναφοράς. Η ισχύουσα απόφαση επάρκειας συνεχίζει να «μπάζει νερά». Νομίζουμε ότι είμαστε κοντά σε μία ακόμη «επίθεση» από πλευράς NOYB και Max Schrems για την ακύρωση της εν λόγω απόφασης (και κατά την άποψή μας, όχι αδικαιολόγητη). Η νέα εκλογή Προέδρου στις ΗΠΑ δείχνει κατά πολύ την κατεύθυνση που θα πάρει η επερχόμενη κυβέρνηση σε θέματα Εθνικής Ασφαλείας. Ήδη ο Ντόναλντ Τραμπ την ημέρα της ορκωμοσίας του κατάργησε ένα μεγάλο σύνολο ομοσπονδιακών νομοθετημάτων της κυβέρνησης Μπάιντεν, ειδικά όσα αφορούν την προστασία θεμελιωδών δικαιωμάτων και διακρίσεων. Οι ΗΠΑ βαδίζουν αδιαμφισβήτητα προς μία πολιτική εσωστρέφειας και περιορισμών στην διεκδίκηση των θεμελιωδών δικαιωμάτων.

Επειδή λοιπόν πολλοί θα θεωρήσουν ότι είμαστε ενάντια σε κάθε προσπάθεια συμφωνίας μεταξύ ΕΕ-ΗΠΑ σε θέματα διατλαντικών διαβιβάσεων δεδομένων, θα τους προλάβουμε δηλώνοντας το ακριβώς αντίθετο. Η ασφαλής μεταφορά δεδομένων στην άλλη άκρη του Ατλαντικού αποτελεί ίσως το κρισιμότερο ζήτημα βιωσιμότητας της καινοτομίας και της εξέλιξης των νέων τεχνολογιών, που θα προσφέρουν στην ανθρωπότητα λύσεις σε θεμελιώδεις τομείς όπως ενδεικτικά στην προαγωγή της κλινικής έρευνας, σε εύρεση θεραπειών για χρόνιες νόσους και στην ορθή κατανομή παγκόσμιων πόρων για την αντιμετώπιση φαινομένων υποσιτισμού και αδυναμίας περίθαλψης. Όχι όμως σε βάρος των θεμελιωδών δικαιωμάτων του ανθρώπου. Τα δεδομένα μας είναι ο νέος χρυσός αλλά ας επωφεληθούμε όλοι από αυτό.

 

* Ο Χρήστος Μακρής είναι Δικηγόρος με 15ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο Ευρωπαϊκό και Διεθνές Δίκαιο, μεταπτυχιακός φοιτητής στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και ακαδημαϊκός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και Προστασίας Δεδομένων.

Η Φωτεινή Κακαβά είναι Data Protection & Privacy legal expert, με 6ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και κάτοχος πιστοποίησης CIPM (Certified Information Privacy Management).