Καταθέσαμε τις απόψεις μας στην ανοιχτή διαβούλευση της Ευρωπαϊκής Επιτροπής για το άρθρο 30(5) GDPR
Χθες, η Homo Digitalis κατέθεσε τις απόψεις της στο πλαίσιο της ανοιχτής διαβούλευσης της Ευρωπαϊκής Επιτροπής για το άρθρο 30 (παρ.5) του GDPR.
Με την τοποθέτηση μας καλούμε την Επιτροπή να αποσύρει την προτεινόμενη τροποποίηση και επιδιώκουμε να διασφαλιστεί ότι ο GDPR δεν θα επανεξεταστεί ή τροποποιηθεί μέσω ευρύτερων απορρυθμιστικών πρωτοβουλιών. Η προτεραιότητα πρέπει να παραμείνει στην εφαρμογή και επιβολή του υφιστάμενου πλαισίου με αποτελεσματικό τρόπο, και όχι στη μείωση των μέτρων προστασίας που είναι απαραίτητα για τη διασφάλιση των θεμελιωδών δικαιωμάτων στην ψηφιακή εποχή.
Μπορείτε να διαβάσετε τις απόψεις μας εδώ.
Ομιλία της Homo Digitalis για την AI Act και την χρήση ΤΝ στον τομέα της γεωργίας
Στις αρχές Ιουλίου, το έργο AgriDataValue διοργάνωσε ένα εις βάθος διαδικτυακό εργαστήριο αφιερωμένο στις διαστάσεις της ιδιωτικότητας των δεδομένων, καθώς και στα νομικά και ηθικά ζητήματα στο πλαίσιο της έξυπνης γεωργίας. Την εκδήλωση, που συντόνισε η Netcompany, παρακολούθησαν εταίροι του AgriDataValue, μέλη της Συμβουλευτικής Επιτροπής, νομικοί εμπειρογνώμονες, καθώς και εκπρόσωποι από σχετικά έργα που χρηματοδοτούνται από την ΕΕ.
Η Homo Digitalis συμμετείχε στο εργαστήριο με νομική παρουσίαση με θέμα «Έξυπνη Γεωργία από την οπτική του GDPR και του AI Act». Ευχαριστούμε θερμά τον Ιωάννη Χρυσάκη για την ευγενική πρόσκληση! Την οργάνωσή μας εκπροσώπησε ο Εκτελεστικός Διευθυντής μας, Λευτέρης Χελιουδάκης.
Στόχος του εργαστηρίου ήταν η αναγνώριση και επικύρωση βασικών θεμάτων δεοντολογίας, νομικής φύσης, κοινωνικών και ζητημάτων ιδιωτικότητας που συνδέονται με την πλατφόρμα AgriDataValue. Παράλληλα, αποτέλεσε μια ευκαιρία για την εξέταση των ροών δεδομένων μεταξύ των τεχνολογιών του έργου, των τύπων χρηστών και των ενσωματωμένων υπηρεσιών — μια ουσιαστική άσκηση για τη διασφάλιση της συμμόρφωσης, της διαφάνειας και της υπεύθυνης διακυβέρνησης δεδομένων.
Μιλήσαμε στην εφημερίδα Η Καθημερινή για τη χρήση drones από ΟΤΑ
Οι Δήμοι Κηφισιάς, Αγίας Παρασκευής και Αιγάλεω αποφάσισαν να επιστρατεύσουν drones προκειμένου να προστατεύσουν τη δημοτική περιουσία από βανδαλισμούς αλλά και να αντιμετωπίσουν τη νεανική παραβατικότητα.
Σε άρθρο της δημοσιογράφου Αλεξία Καλαϊτζή για την εφημερίδα η Καθημερινή, το οποίο δημοσιεύθηκε στις αρχές Ιουνίου, η Homo Digitalis παραχώρησε σχετικές δηλώσεις!
Είναι η χρήση drones από έναν ΟΤΑ με σκοπό την αντιμετώπιση της παραβατικότητας, νόμιμη; Προστατεύονται τα προσωπικά δεδομένα των δημοτών, όταν τα drones πετάνε, κάνοντας ίσως και αδύνατη την αντίληψη της παρουσίας του, σε δημόσιους χώρους, ήτοι σε περισσότερα από 150 σημεία ενδιαφέροντος, καλύπτοντας κάθε γειτονιά ή ακόμα και έξω από τα μπαλκόνια δημοτών;
Διαβάστε περισσότερα εδώ.
Ευχαριστούμε θερμά τη δημοσιογράφο για το ενδιαφέρον της στις δράσεις μας! Τις δηλώσεις για τη Homo Digitalis παραχώρησε ο Εκτελεστικός μας Διευθυντής, Λευτέρης Χελιουδάκης.
Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Καλούμε την ΑΠΔΠΧ να μπλοκάρει προσωρινά την αναγραφή του Προσωπικού Αριθμού (Π.Α.) στις νέες ταυτότητες, ωσότου ληφθούν τα αναγκαία μέτρα μετριασμού κινδύνου που η ίδια έχει εγκρίνει!
Από τον Ιούνιο, η Ελληνική Αστυνομία (ΕΛ.ΑΣ.), για όσους πολίτες έχουν Π.Α., εκδίδει δελτίο ταυτότητας με αναγραφόμενο τον Π.Α. σε αυτήν, ενώ από αύριο 28/06/2025 κι έπειτα, δεν θα εκδίδει δελτίο ταυτότητας σε πολίτη, ο οποίος αν και είναι δικαιούχος χορήγησης Π.Α. δεν έχει προβεί στις απαραίτητες ενέργειες έκδοσής του.
H ΑΠΔΠΧ στη Γνωμοδότηση 1/2025 ορίζει πως η αναγραφή του Π.Δ. στις ταυτότητες εγκυμονεί κινδύνους και γι’ αυτο πρέπει να συνοδεύεται από συγκεκριμένα μέτρα μετριασμού.
Ωστόσο, παρά το γεγονός ότι το Ελληνικό Κράτος πρότεινε ενώπιον της ΑΠΔΠΧ συγκεκριμένα μέτρα, τα οποία εγκρίθηκαν ως ορθά, έχει παραμελήσει να τα λάβει, και εκθέτει ανεπανόρθωτα του πολίτες σε κινδύνους κλοπής ταυτότητας.
Π.χ. ένα μέτρο που προτάθηκε είναι η θέσπιση διατάξεων που θα απαγορεύουν σε ιδιώτες να κρατούν φωτοαντίγραφα της ταυτότητας μας. Η σχετική νομοθέτηση πρέπει να συνδυαστεί με κατάλληλες συντονισμένες και εντατικές δράσεις ενημέρωσης και ευαισθητοποίησης, ώστε να καταστεί γνωστό στους πολίτες ότι δεν πρέπει να τηρείται αντίγραφο της φυσικής ταυτότητάς τους.
Στο τέλος της ανάλυσής της, η ΑΠΔΠΧ καταλήγει, οτι επειδή σε κάθε περίπτωση οι κίνδυνοι παραμένουν από την αναγραφή του Π.Α. στις ταυτότητες, μετά από ένα ικανό χρονικό διάστημα που θα λειτουργούν τα μέτρα μετριασμού, και οι δημόσιοι φορείς θα έχουν εξοπλιστεί με τον αναγκαίο εξοπλισμό για την ψηφιακή ανάγνωση του Π.Α., η αναγραφή δεν θα είναι πλέον απαραίτητη και θα πρέπει να παύσει ο υποχρεωτικός χαρακτήρας της.
Για τους λόγους αυτούς, την Παρασκευή 20 Ιουνίου καταθέσαμε αίτημα (Γ/ΕΙΣ/5621/20-06-2025), με το οποίο καλέσαμε την ΑΠΔΠΧ να κάνει χρήση των εξουσιών της (Άρθρο 58, παρ. 2 (στ) του ΓΚΠΔ) και να επιβάλει προσωρινό περιορισμό της επεξεργασίας, απαιτώντας την απαγόρευσης της αναγραφής του Π.Α. στο δελτίο ταυτότητας, ωσότου ληφθούν τα αναγκαία μέτρα μετριασμού των πολύ σημαντικών κινδύνων που ανακύπτουν από την πρακτική αυτή.
Το αίτημά μας βρίσκεται διαθέσιμο εδώ.
Στείλαμε ανοιχτή επιστολή στην ΕΕ για να επενεξετάσει την απόφαση επάρκειας του νομικού πλαισίου του Ισραήλ με τον GDPR
Μαζί με την European Digital Rights, την Access Now και ακόμη 16 οργανώσεις της κοινωνίας των πολιτών καταθέσαμε δεύτερη ανοιχτή επιστολή προς την Ευρωπαϊκή Επιτροπή, καλώντας την να επανεξετάσει επειγόντως το καθεστώς επάρκειας του Ισραήλ στο πλαίσιο του GDPR.
Από τότε που η Επιτροπή επαναβεβαίωσε το καθεστώς του Ισραήλ τον Ιανουάριο του 2024, η κατάσταση μόνο έχει επιδεινωθεί:
-Κλιμάκωση παραβιάσεων δικαιωμάτων του ανθρώπου στη Γάζα και τη Δυτική Όχθη
-Επέκταση συστημάτων παρακολούθησης και βιομετρικής καταστολής
-Νομικές μεταρρυθμίσεις που υπονομεύουν την εποπτεία της επεξεργασίας προσωπικών δεδομένων
-Συνεχείς ροές δεδομένων σε ισραηλινές εταιρείες με δεσμούς με τις υπηρεσίες ασφαλείας
-Χρήση συστημάτων στοχοποίησης που βασίζονται σε τεχνητή νοημοσύνη, σε ένα πλαίσιο όπου το Διεθνές Δικαστήριο έχει κρίνει ότι υπάρχει εύλογη υπόνοια γενοκτονίας
-Εφαρμογή του ισραηλινού δικαίου σε κατεχόμενα εδάφη, κατά παράβαση της ίδιας της πολιτικής της ΕΕ
Δεν πρόκειται μόνο για τεχνική συμμόρφωση. Πρόκειται για το κατά πόσο το ευρωπαϊκό πλαίσιο προστασίας δεδομένων μπορεί να υπερασπιστεί αξιόπιστα τα θεμελιώδη δικαιώματα, και για το αν δεδομένα που προέρχονται από την ΕΕ χρησιμοποιούνται για τη διευκόλυνση παράνομων πρακτικών/
Διάβασε την επιστολή εδώ.
Κοινή μας δράση με Reporters United & Vouliwatch: Οι κάμερες στο Πολυτεχνείο απειλούν τα προσωπικά δεδομένα
Στις 29.3.2025 το Εθνικό Μετσόβιο Πολυτεχνείο (ΕΜΠ) εγκατέστησε κάμερες στην Πολυτεχνειούπολη Ζωγράφου και το συγκρότημα της Πατησίων, χωρίς να ενημερώσει για την πολιτική του στην επεξεργασία δεδομένων φοιτητ(ρι)ών και εργαζομένων.
Στις 26.5.2025, το Vouliwatch, to Reporters United και η Homo Digitalis καταθέσαμε από κοινού Αίτημα Χορήγησης Εγγράφων (FOI), για να εξακριβώσουμε αν το ΕΜΠ συμμορφώνεται με τη νομοθεσία και τον Γενικό Κανονισμό για τα Προσωπικά Δεδομένα (GDPR) και τις λοιπές εθνικές ρυθμίσεις. Αντίστοιχο αίτημα κατέθεσαν 61 φοιτήτριες και φοιτητές της Αρχιτεκτονικής.
Το ΕΜΠ μπορεί να μη συμμορφώνεται πλήρως με τα άρθρα 12, 13, 35 και 36 του GDPR, που κατοχυρώνουν τη διαφανή ενημέρωση του υποκειμένου των δεδομένων, την εκτίμηση αντικτύπου στην προστασία των προσωπικών δεδομένων και την πρόβλεψη προηγούμενης διαβούλευσης.
Στο αίτημά μας εξηγούμε ότι το ΕΜΠ δεν έχει ανταποκριθεί σε αιτήματα σπουδαστ(ρι)ών και εργαζομένων του ΕΜΠ για ενημέρωση σχετικά με την επεξεργασία των δεδομένων τους και ζητάμε το απόρρητο σχέδιο ασφαλείας της κυβέρνησης για τα πανεπιστήμια.
Με το αίτημά μας προς το ΕΜΠ, ζητάμε ακόμη να μάθουμε ποια άτομα καταγράφονται από τις κάμερες, πού καταλήγουν τα δεδομένα τους και αν αυτά κοινοποιούνται στην ΕΛΑΣ.
Το ΕΜΠ έχει διορία να απαντήσει στο αίτημά μας έως τις 15 Ιουνίου και στο αίτημα των φοιτητ(ρι)ών έως τις 19 Ιουνίου. Θα συνεχίσουμε να παρακολουθούμε το ζήτημα και θα επανέλθουμε με ρεπορτάζ. Το Αίτημα Χορήγησης Εγγράφων και Παροχής Πληροφοριών των οργανώσεών μας, βρίσκεται διαθέσιμο εδώ.
I HAVE RIGHTS και Homo Digitalis δημοσιεύουν μελέτη για την κατάσταση που επικρατεί Κλειστή Ελεγχόμενή Δομή (ΚΕΔ) Σάμου έναν χρόνο μετά το πρόστιμο της ΑΠΔΠΧ για ΚΕΝΤΑΥΡΟ και ΥΠΕΡΙΩΝΑ
Το Υπουργείο Μετανάστευσης και Ασύλου συνεχίζει να παραβιάζει τα δικαιώματα προστασίας δεδομένων των αιτούντων άσυλο στο Κλειστή Ελεγχόμενή Δομή (ΚΕΔ) Σάμου, όπως επισημαίνουν οι οργανώσεις I Have Rights και Homo Digitalis σε έκθεση που δημοσιεύθηκε σήμερα.
Η έκθεση με τίτλο «Ποτέ δεν μας λένε τίποτα»: Συνεχιζόμενες Παραβιάσεις Δικαιωμάτων Δεδομένων στο ΚΕΔ Σάμου αναλύει την εφαρμογή της εντολής συμμόρφωσης που εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) τον Απρίλιο του 2024. Σε αυτή τη ιστορική απόφαση, η ΑΠΔΠΧ έκρινε ότι η χρήση τεχνολογιών επιτήρησης από το Υπουργείο σε δομές υποδοχής ανά την Ελλάδα, περιλαμβανομένων βιομετρικών συστημάτων πρόσβασης και εργαλείων επιτήρησης, δεν ήταν σύμφωνη με τη νομοθεσία της ΕΕ για την προστασία των προσωπικών δεδομένων (GDPR). Δέκα μήνες μετά τη λήξη της προθεσμίας συμμόρφωσης, τον Ιούλιο του 2024, η έκθεση διαπιστώνει ότι το Υπουργείο δεν έχει συμμορφωθεί με την εντολή.
«Οι συνεχιζόμενες παραβιάσεις δικαιωμάτων προστασίας δεδομένων στο ΚΕΔ Σάμου είναι ενδεικτικές ενός συστήματος όπου ο έλεγχος και η επιτήρηση υπερισχύουν των δικαιωμάτων όσων αναζητούν προστασία», δήλωσε η Réka Rebeka Rósa, Νομική Συντονίστρια της I Have Rights. «Η Ευρωπαϊκή Ένωση οφείλει να ασκήσει πίεση στις ελληνικές αρχές ώστε να αντιμετωπίσουν αυτές τις σοβαρές παραβιάσεις. Διαφορετικά, αυτές οι παραβιάσεις κινδυνεύουν να αποτελέσουν πρότυπο για περαιτέρω (ψηφιακή) καταπάτηση δικαιωμάτων ανθρώπων σε κίνηση σε όλη την Ευρώπη».
Το ΚΕΔ Σάμου άνοιξε τον Σεπτέμβριο του 2021, ως η πρώτη από τις πέντε πλέον υφιστάμενες δομές στην Ελλάδα, στο πλαίσιο συμφωνίας μεταξύ της Ευρωπαϊκής Επιτροπής και της Ελληνικής Κυβέρνησης το 2020. Από την έναρξη λειτουργίας του, ΜΚΟ, διεθνείς εμπειρογνώμονες ανθρωπίνων δικαιωμάτων και άνθρωποι που κρατούνται στη δομή εκφράζουν συνεχείς ανησυχίες για τις πρακτικές έμμεσης κράτησης, και τις ανεπαρκείς συνθήκες διαβίωσης.
Οι ανησυχίες αυτές επιτείνονται από την παντελή έλλειψη διαφάνειας στη διαδικασία ασύλου στην Ελλάδα και το αδιαφανές σύστημα επιτήρησης στο ΚΕΔ Σάμου. Όπως εξήγησε ένας εξυπηρετούμενος σχετικά με τη συλλογή βιομετρικών δεδομένων:
«Όχι, κανείς δεν μου το εξηγεί. Μόνο παίρνουν δακτυλικά αποτυπώματα και μας μετακινούν από μέρος σε μέρος, και το κάνουμε χωρίς να ξέρουμε γιατί. Δεν υπάρχει κανείς να εξηγήσει τι συμβαίνει».
Η Ελλάδα έχει νομική και ηθική υποχρέωση να διασφαλίζει τα θεμελιώδη δικαιώματα και τα δικαιώματα προστασίας δεδομένων των αιτούντων άσυλο, όπως αυτά κατοχυρώνονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και στον GDPR. Η Ευρωπαϊκή Ένωση, και ειδικότερα η Ευρωπαϊκή Επιτροπή, δεδομένου του κομβικού της ρόλου στον σχεδιασμό, τη χρηματοδότηση, τη λειτουργία και την παρακολούθηση των ΚΕΔ στην Ελλάδα, φέρει ευθύνη να διασφαλίσει την πλήρη τήρηση αυτών των προτύπων.
«Η διαρκής έλλειψη συμμόρφωσης με τον GDPR, σε ό,τι αφορά τη διαφάνεια και τη λογοδοσία στη χρήση των συστημάτων επιτήρησης Κένταυρος και Ύπερίων στο ΚΕΔ Σάμου, αντικατοπτρίζει μια ανησυχητική υποβάθμιση των θεμελιωδών δικαιωμάτων. Με το να μην τηρεί ούτε τις βασικές απαιτήσεις προστασίας δεδομένων στην πράξη, το Υπουργείο Μετανάστευσης ενισχύει μια επικίνδυνη τάση διαχείρισης των συνόρων με όρους επιτήρησης, που απανθρωποποιεί τους ανθρώπους σε μετακίνηση», δήλωσε ο Λευτέρης Χελιουδάκης, Εκτελεστικός Διευθυντής της Homo Digitalis.
Μπορείτε να διαβάσετε τη μελέτη εδώ.
Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook
Γράφει η Μαρία Κατσιώτη
Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.
Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;
Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).
Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.
Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).
Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;
Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.
Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:
- «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
- “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
- “Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR)”. Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
- «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».
Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:
- 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
- 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
- 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
- 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
- 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.
Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:
- Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
- Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
- Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
- Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
- Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
- Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).
Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.
Βιβλιογραφία - Αναφορές
Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.
Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.
Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.
Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.
*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.