Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook

Γράφει η Μαρία Κατσιώτη

Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.

Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;

Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).

Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.

Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).

Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;

Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές  τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.

Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:

  • «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
  • Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
  • Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR). Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
  • «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».

Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:

  • 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
  • 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
  • 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
  • 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
  • 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.

Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:

  • Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
  • Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
  • Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
  • Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
  • Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
  • Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).

Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.

Βιβλιογραφία - Αναφορές

Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.

Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.

Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.

Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.

*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.

by Homo Digitalis

NIS2, GDPR και Ανθεκτικότητα: Διδάγματα από την Επανάσταση του 1821

Γράφει ο Τάσος Αραμπατζής

Η κυβερνοασφάλεια και η προστασία προσωπικών δεδομένων είναι δύο άρρηκτα συνδεδεμένες έννοιες στον σύγχρονο ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση, μέσα από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και την Οδηγία NIS2, θέτει αυστηρά πλαίσια για την προστασία των προσωπικών δεδομένων, την διαχείριση των κινδύνων φυσικών και ψηφιακών, και την ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών.

Ωστόσο, παρά τις ομοιότητες, πολλές επιχειρήσεις και οργανισμοί εξακολουθούν να αντιμετωπίζουν τις δύο ρυθμίσεις ως ξεχωριστές υποχρεώσεις συμμόρφωσης, με αποτέλεσμα αυξημένο κόστος και πολυπλοκότητα. Ωστόσο, οι μεμονωμένες τακτικές οδηγούν σε σπατάλη πόρων και σε αβέβαια αποτελέσματα, ένα μάθημα που ως χώρα το έχουμε μάθει από την εποχή της Επανάστασης του 1821.

Όταν οι Έλληνες αποφάσισαν να αποκτήσουν ενιαία στρατηγική απέναντι στον κοινό εχθρό, η Επανάσταση πήρε μία εντελώς διαφορετική τροπή οδηγώντας στο ανεξάρτητο Ελληνικό κράτος του 1830. Αυτό το μάθημα βρίσκει απόκριση και στην αντιμετώπιση των προκλήσεων της συμμόρφωσης με μία πληθώρα κανονιστικών απαιτήσεων.

Μια ενιαία στρατηγική διακυβέρνησης μπορεί να συμβάλει στη μείωση αυτών των προκλήσεων, εξασφαλίζοντας ταυτόχρονα υψηλότερο επίπεδο προστασίας δεδομένων και ανθεκτικότητας απέναντι σε κυβερνοαπειλές.

Τι είναι η Οδηγία NIS2 και γιατί είναι σημαντική;

Η Οδηγία NIS2 (Network and Information Security Directive 2) αποτελεί την αναβαθμισμένη εκδοχή του αρχικού NIS, με στόχο την ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας κρίσιμων υποδομών στην Ευρώπη.

Οι βασικές αλλαγές του NIS2 περιλαμβάνουν:

Διεύρυνση του πεδίου εφαρμογής: Περιλαμβάνει πλέον περισσότερους τομείς, όπως η υγειονομική περίθαλψη, η διαχείριση υδάτων, η ενέργεια, οι τράπεζες, οι δημόσιες υπηρεσίες και οι πάροχοι ψηφιακών υπηρεσιών.

Αυστηρότερες απαιτήσεις ασφάλειας: Οι οργανισμοί πρέπει να υιοθετήσουν στρατηγικές διαχείρισης κινδύνων που περιλαμβάνουν μέτρα όπως έλεγχος πρόσβασης, κρυπτογράφηση, διαχείριση εφοδιαστικής αλυσίδας και ανθεκτικότητα σε κυβερνοεπιθέσεις.

Υποχρέωση αναφοράς περιστατικών: Οι επιχειρήσεις πρέπει να ενημερώνουν άμεσα τις αρμόδιες αρχές για κυβερνοεπιθέσεις που μπορούν να επηρεάσουν τη λειτουργία τους.

Αυστηρότερα πρόστιμα: Οι διοικήσεις οργανισμών φέρουν πλέον προσωπική ευθύνη για την εφαρμογή πολιτικών κυβερνοασφάλειας, με κυρώσεις που μπορούν να αγγίξουν το 2% του ετήσιου κύκλου εργασιών ή 10 εκατ. ευρώ.

NIS2 και GDPR: Συγκλίσεις και Αποκλίσεις

Το NIS2 και ο GDPR στοχεύουν αμφότερα στην προστασία δεδομένων, και αυτό είναι απόλυτα λογικό εάν αναλογιστούμε την σημασία των δεδομένων – προσωπικών και εταιρικών – στην διαδικασία λήψης αποφάσεων. Εντούτοις, προσεγγίζουν το ζήτημα από διαφορετικές οπτικές:

Κοινά σημεία
Διαχείριση κινδύνων και προστασία δεδομένων Αμφότεροι οι κανονισμοί απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα προστασίας για την αποφυγή διαρροής ή παραβίασης δεδομένων.
Υποχρέωση αναφοράς περιστατικών Οι επιχειρήσεις οφείλουν να αναφέρουν σοβαρά περιστατικά ασφαλείας στις αρμόδιες αρχές (DPA για τον GDPR, CSIRT/National Competent Authorities για το NIS2).
Πρόστιμα και κυρώσεις Η μη συμμόρφωση με τις απαιτήσεις μπορεί να οδηγήσει σε υψηλά πρόστιμα και νομικές επιπτώσεις.
Διαφορές
Εστίαση Ο GDPR προστατεύει τα προσωπικά δεδομένα φυσικών προσώπων, ενώ ο NIS2 εστιάζει στην ασφάλεια των δικτύων και πληροφοριακών συστημάτων κρίσιμων υποδομών.
Υποχρεώσεις συμμόρφωσης Ο GDPR απαιτεί την εφαρμογή αρχών προστασίας δεδομένων (data minimization, purpose limitation), ενώ ο NIS2 απαιτεί ενισχυμένα μέτρα κυβερνοασφάλειας (ανθεκτικότητα συστημάτων, διαχείριση εφοδιαστικής αλυσίδας).

 

Η Ανάγκη για Ενιαία Διακυβέρνηση της Συμμόρφωσης

Οι επιχειρήσεις που δραστηριοποιούνται σε τομείς που καλύπτονται τόσο από τον GDPR όσο και από το NIS2 συχνά υιοθετούν ξεχωριστές στρατηγικές συμμόρφωσης, κάτι που αυξάνει την πολυπλοκότητα και το λειτουργικό κόστος.

Αντί αυτού, η προσέγγιση της ενιαίας διακυβέρνησης της συμμόρφωσης μπορεί να προσφέρει σημαντικά πλεονεκτήματα:

Μείωση κόστους: Αντί για πολλαπλά, παράλληλα compliance προγράμματα, οι οργανισμοί μπορούν να ενοποιήσουν τις πολιτικές τους και να αξιοποιήσουν κοινές δομές (π.χ. Security Operations Centers – SOCs, Risk Management Frameworks).

Απλοποίηση διαδικασιών: Η δημιουργία ενός ενιαίου προγράμματος διαχείρισης κινδύνου που συνδυάζει τις απαιτήσεις του GDPR και του NIS2 μπορεί να μειώσει τη γραφειοκρατία και να επιταχύνει τη συμμόρφωση.

Ενίσχυση της ανθεκτικότητας: Η ενσωμάτωση πρακτικών κυβερνοασφάλειας στο πλαίσιο προστασίας δεδομένων διασφαλίζει ότι τα προσωπικά δεδομένα προστατεύονται όχι μόνο νομικά, αλλά και τεχνικά.

Ενδυνάμωση του ρόλου των DPOs και CISOs: Αντί να λειτουργούν ανεξάρτητα, οι Υπεύθυνοι Προστασίας Δεδομένων (DPOs) και οι Διευθυντές Κυβερνοασφάλειας (CISOs) μπορούν να συνεργάζονται για την επίτευξη κοινών στόχων.

 

Η Επιτυχία Βρίσκεται στην Στρατηγική: Τι Μας Διδάσκουν οι Ήρωες του 1821

Η 25η Μαρτίου 1821 σηματοδοτεί τον αγώνα για ελευθερία, ανεξαρτησία και ανθεκτικότητα απέναντι στις απειλές. Σήμερα, οι επιχειρήσεις και οι οργανισμοί βρίσκονται σε μια διαφορετική μάχη—την προστασία των δεδομένων και της επιχειρησιακής τους συνέχειας απέναντι σε κυβερνοαπειλές.

Όπως τότε, η επιτυχία δεν έγκειται μόνο στην άμυνα, αλλά στη στρατηγική, τη συνεργασία και την προετοιμασία. Ο NIS2 και ο GDPR δεν πρέπει να θεωρούνται εμπόδια, αλλά ασπίδα προστασίας απέναντι σε έναν ψηφιακό εχθρό που εξελίσσεται διαρκώς. Η υιοθέτηση μιας ενιαίας στρατηγικής διακυβέρνησης είναι το κλειδί για την ανθεκτικότητα, εξασφαλίζοντας ότι οι επιχειρήσεις θα συνεχίσουν να λειτουργούν απρόσκοπτα, ακόμα και μπροστά στις μεγαλύτερες προκλήσεις.

Τα παρακάτω ερωτήματα θα πρέπει να είναι στο πίσω μέρος του μυαλού όλων των στελεχών των επιχειρήσεων:

  • Πώς μπορεί η δική σας επιχείρηση να οχυρωθεί απέναντι στις κυβερνοαπειλές και να διασφαλίσει τη συνέχειά της;
  • Ποιες στρατηγικές ανθεκτικότητας μπορείτε να υιοθετήσετε σήμερα για να προστατεύσετε τα δεδομένα και τις υποδομές σας;

Η ιστορία μάς διδάσκει ότι η ανθεκτικότητα και η αποφασιστικότητα είναι το κλειδί για την επιβίωση. Το ίδιο ισχύει και για την ψηφιακή εποχή.

 

by Homo Digitalis

Συμμόρφωση στην Εποχή της Τεχνητής Νοημοσύνης και της Κυβερνοασφάλειας: Πρόκληση ή Ευκαιρία;

Γράφει o Τάσος Αραμπατζής

Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.

Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;

Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας

Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.

Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.

Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.

Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.

  • EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
  • NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.

Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.

Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος

Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;

Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:

  • Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
  • Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;

Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.

Βελτιώνουν τα Πρόστιμα την Ασφάλεια;

Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.

Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:

“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”

Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;

Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.

Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;

Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;

Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:

  • Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
  • Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.

Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.

Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:

Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.

Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;

Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:

  • Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
  • Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.

Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.

Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα

Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.

Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.

Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι

Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση - ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.

Ποια θα είναι η δική σας προσέγγιση;

by Homo Digitalis

Η Homo Digitalis μίλησε στο Tech & Society Summit στις Βρυξέλλες

Την περασμένη Τρίτη 1/10, η Homo Digitalis βρέθηκε στις Βρυξέλλες, συμμετέχοντας στη Σύνοδο Κορυφής για την Τεχνολογία και την Κοινωνία (Tech & Society Summit) που συνδιοργανώθηκε από τη European Digitalis Rights, τη Homo Digitalis και περισσότερες από άλλες 40 οργανώσεις!

Η εκδήλωση αυτή είχε ως στόχο να φέρει τις φωνές της κοινωνίας των πολιτών στο προσκήνιο των συζητήσεων της ψηφιακής πολιτικής της ΕΕ. Μαζί οικοδομούμε αυτόν τον χώρο για να δημιουργήσουμε μια γέφυρα μεταξύ των οργανώσεων ψηφιακών δικαιωμάτων και των νέων φορέων χάραξης πολιτικής για την επίτευξη υπεύθυνων, ανθρωποκεντρικών πολιτικών που προωθούν τα ψηφιακά δικαιώματα όλων.

O Λευτέρης Χελιουδάκης μας εκπροσώπησε στη Σύνοδο Κορυφής μιλώντας στη συνεδρία «Visionary Round-table: Building an EU Digital Enforcement Strategy» που διοργανώθηκε από την BEUC – The European Consumer Organisation και συντονίστηκε από την Itxaso Domínguez de Olazábal της European Digital Rights! Ήταν μια μοναδική ευκαιρία για εμάς να μοιραστούμε τις δράσεις μας για την επιβολή της νομοθεσίας με στόχο τη διευκόλυνση της αποκατάστασης των ζημιωθέντων ατόμων στην Ελλάδα!

Επίσης, συμμετείχαμε ενεργά στο στρογγυλό τραπέζι “Fundamental Rights in focus: Joint efforts for Spyware Regulation in the EU”, που διοργανώθηκε από το Centre for Democracy & Technology Europe και τη Διεθνή Αμνηστία, μοιραζόμενοι γνώσεις από τις τελευταίες εξελίξεις του σκανδάλου PREDATOR στην Ελλάδα και τις σχετικές νομοθετικές πρωτοβουλίες του ελληνικού κράτους.

Θα θέλαμε να ευχαριστήσουμε θερμά τους διοργανωτές για την πρόσκληση της Homo Digitalis να συμμετάσχει και να μοιραστούμε τις απόψεις και τις δράσεις μας πάνω σε αυτά τα σημαντικά θέματα!

by Homo Digitalis

Ετοιμάσαμε ένα επεξηγηματικό βίντεο για την Απόφαση της ΑΠΔΠΧ σχετικά με τις νέες ταυτότητες

Τη Δευτέρα 23/9 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε την Απόφαση 32/2024, η οποία σχετίζεται με τις νέες ταυτότητες για τους Έλληνες Πολίτες.

Η Αρχή διαπίστωσε πλημμέλειες αναφορικά με την παροχή γενικής ενημέρωσης προς τα υποκείμενα των δεδομένων, ενώ περαιτέρω έκρινε ότι η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις. Για τους λόγους αυτούς επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας,  διοικητικό χρηματικό πρόστιμο 150.000 ευρώ για τις ως άνω παραβάσεις, ενώ παράλληλα απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός εξαμήνου. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.

Η Απόφαση 32/2024 της ΑΠΔΠΧ βρίσκεται διαθέσιμη εδώ.

Η ομάδα της Homo Digitalis έχει ετοιμάσει ένα σύντομο επεξηγηματικό βίντεο σε απλή γλώσσα, προκειμένου να τονίσει κάποια σημαντικά σημεία της Απόφασης αυτής.

Το βίντεο βρίσκεται διαθέσιμο εδώ.

by Homo Digitalis

Δηλώσεις της Homo Digitalis στην Καθημερινή για τη καταγραφή ομιλίας και την online διαφήμιση

Ο δημοσιογράφος Γιάννης Παπαδόπουλος σε άρθρο του για την εφημερίδα «Η Καθημερινή» καταπιάνεται με τις πρόσφατες αποκαλύψεις για το «Active Listening», τη λειτουργία «ενεργούς ακρόασης» της διαφημιστικής εταιρείας Cox Media Group.

Συγκεκριμένα, σε εταιρική παρουσίαση με την οποία προσπαθούσε να προωθήσει τη λειτουργία αυτή στους πελάτες της, η Cox Media Group υποστήριζε ότι θα μπορούσε να «κρυφακούσει» συνομιλίες χρηστών κινητών τηλεφώνων και άλλων έξυπνων συσκευών και με τη βοήθεια της τεχνητής νοημοσύνης να δημιουργήσει στοχευμένες διαφημίσεις. Στο υπάρχον πελατολόγιο της Εταιρίας συμπεριλαμβάνονται μεγάλες εταιρίες τεχνολογίας, μεταξύ των οποίων η Facebook, η Google και η Amazon.

Η Λαμπρινή Γυφτοκώστα και ο Λευτέρης Χελιουδάκης παραχώρησαν δηλώσεις για τη Ηοmo Digitalis στον δημοσιογράφο αναφορικά τόσο με τις ρυθμίσεις του κινητού μας τηλεφώνου, όσο και με τις προκλήσεις που ανακύπτουν για την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας των χρηστών μέσα από τα dark patterns που χρησιμοποιούν οι τεχνολογικοί κολοσσοί.

Ευχαριστούμε πολύ τον δημοσιογράφο για το ενδιαφέρον του στις θέσεις μας. Μπορείτε να διαβάσετε το άρθρο του εδώ.

Σε σχετικό άρθρο-άποψη που φιλοξενεί η εφημερίδα «Η Καθημερινή» που συνυπογράφουν η κ. Λίλιαν Μήτρου, καθηγήτρια Πανεπιστημίου Αιγαίου και κ. Βασίλης Καρκατζούνης, υποψήφιος διδάκτωρ Πανεπιστημίου Αιγαίου, φιλοξενούνται σημαντικές παρατηρήσεις αναφορικά με τις προκλήσεις που ανακύπτουν από την εφαρμογή της νομοθεσίας στο σύνθετο περιβάλλον της online διαφήμισης. Μπορείτε να διαβάσετε το άρθρο εδώ.

Τέλος, θυμίζουμε ότι ήδη από το 2020, η Homo Digitalis έχει προχωρήσει σε στρατηγικού χαρακτήρα νομικές δράσεις σε ευρωπαϊκό επίπεδο με καταγγελίες μας κατά της Google και της IAB Europe στο πλαίσιο των παρεμβατικών πρακτικών τους στοχευμένης συμπεριφορικής διαφήμισης. Οι υποθέσεις μας εκκρεμούν ενώπιον της Ιρλανδικής και της Βελγικής αρχής αντίστοιχα και αναμένουμε σύντομα την έκδοση σχετικών αποφάσεων.  Μπορείτε να διαβάσετε περισσότερα εδώ.

by Homo Digitalis

Μιλήσαμε στην εφημερίδα Η Καθημερινή και τον δημοσιογράφο Γιάννη Παπαδοπουλο για τη διαρροή προσωπικών δεδομένων στον Οίκο Δημοπρασιών Christie’s

Στις 30 Μαΐου ο διεθνής οίκος δημοπρασιών Christie’s έστειλε ένα email σε πελάτες του για να τους ενημερώσει ότι τα προσωπικά τους δεδομένα είχαν παραβιαστεί από hackers, ενώ στις 3 Ιουνίου υποβλήθηκε στη Νέα Υόρκη αγωγή για αποζημίωση κατά του διεθνούς οίκου δημοπρασιών.

Ο Δημοσιογράφος της εφημερίδας Η Καθημερινή, Γιάννης Παπαδόπουλος, έγραψε ένα αναλυτικό άρθρο για την υπόθεση αυτή, και η Homo Digitalis παραχώρησε σχετικά σχόλια, με τον Λευτέρη Χελιουδάκη να μας εκπροσωπεί.

Ευχαριστούμε θερμά τον δημοσιογράφο για το ενδιαφέρον τους στις απόψεις μας.

Μπορείτε να διαβάσετε το σχετικό άρθρο εδώ.

 

by Homo Digitalis

ΕΝΔΕΙΚΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γράφει ο Δημοσθένης Κωστούλας, MBA MSc BSc *

Έξι ολόκληρα χρόνια από την έναρξη εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016 / GDPR), τίθεται το ερώτημα του πόσες επιχειρήσεις, οργανισμοί και φορείς του ιδιωτικού και δημόσιου τομέα είναι ουσιωδώς συμμορφωμένοι με τους βασικούς κανόνες και τις απαιτήσεις σχετικά με την προστασία των προσωπικών δεδομένων που επεξεργάζονται στα πλαίσια της δραστηριότητας τους. Και δεν γίνεται λόγος μόνο για τον ορισμό ενός υπεύθυνου προστασίας δεδομένων (ο οποίος στην πλειονότητα των περιπτώσεων είναι τυπικός), αλλά για την ουσιαστική ανάπτυξη και εφαρμογή ενός στιβαρού προγράμματος συμμόρφωσης, μέσω του οποίου θα μεγιστοποιείται η ασφάλεια και η ακεραιότητα των – υπό επεξεργασία – προσωπικών δεδομένων και θα ελαχιστοποιείται η πιθανότητα διαρροής τους ή/και κακόβουλης μεταχείρισης τους.

Στο πλαίσιο αυτό, ένας οργανισμός (ως “υπεύθυνος επεξεργασίας”) θα έπρεπε να αποδεχθεί ότι, για μια ουσιαστική συμμόρφωση, απαιτούνται ανθρώπινοι και υλικοί πόροι, καθώς και η δέσμευση της ίδιας της Διοίκησης και των ανθρώπων που συμμετέχουν στην λήψη αποφάσεων. 

ΦΑΣΗ ΠΡΟΕΤΟΙΜΑΣΙΑΣ ΓΙΑ ΤΟ ΠΡΟΓΡΑΜΜΑ ΣΥΜΜΟΡΦΩΣΗΣ

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης. Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα  μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε καταρτισμένο άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε εξωτερικό σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση. Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτο-αξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν. Η διαδικασία της αυτο-αξιολόγησης θα πρέπει να είναι ενδελεχής και να επεκταθεί σε όλες τις δραστηριότητες και διεργασίες του οργανισμού.

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Τέλος, σε αυτήν την φάση, κρίνεται απαραίτητη και μια επίσημη ενημέρωση του προσωπικού, σχετικά με την επικείμενη ανάπτυξη και εφαρμογή του προγράμματος συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

ΦΑΣΗ ΥΛΟΠΟΙΗΣΗΣ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού. Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

1.ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για την ευαισθητοποίηση Διοίκησης και προσωπικού, με απώτερο σκοπό την σταδιακή ανάπτυξη μιας κουλτούρας προστασίας δεδομένων.

  • Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων. Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

  • Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν. Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού και αποτελεί την βάση όλων των επόμενων παραδοτέων.

  • Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται με λεπτομέρεια όλα όσα ορίζει ο GDPR.

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθόλου καθυστερήσεις.

2.ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περαιτέρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

  • Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού. Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού και της κείμενης νομοθεσίας.

  • Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου. Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

  • Μελέτη Αντικτύπου

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

3.ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

  • Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων (Action Plan). Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου. Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός καταρτισμένου Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού. Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Πηγές: Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

 

 

* Ο Δημοσθένης Κωστούλας είναι έμπειρο στέλεχος με πλούσιες σπουδές και πολυετή εμπειρία σε θέσεις ευθύνης. Είναι κάτοχος τίτλου MBA , τίτλου MSc και τίτλου BSc, ενώ ταυτόχρονα είναι πιστοποιημένος Lead Auditor ISO 9001:2015, ISO 27001:2013 και DPO Executive / GDPR Expert. Ειδικότερα, από το 2011 έχει εξειδικευτεί: 

  • σε θέματα Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέσω της ανάπτυξης & εφαρμογής προγραμμάτων συμμόρφωσης με τον ΓΚΠΔ (GDPR), την παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων και την σχετική εκπαίδευση φορέων & οργανισμών.
  • σε Συστήματα Διαχείρισης Ποιότητας, μέσω της συμμετοχής / υποστήριξης στον εσωτερικό σχεδιασμό, την ανάπτυξη και την εφαρμογή Συστημάτων Ποιότητας, με γνώμονα πάντα την παροχή ποιοτικών υπηρεσιών και την ασφάλεια των ενδιαφερόμενων μερών.

 

by Homo Digitalis

Καταθέσαμε σημαντικά ερωτήματα στην Υπ. Εσωτερικών, κα. Κεραμέως, για το έργο «Ανάπτυξη και λειτουργία εργαλείου για τον στρατηγικό προγραμματισμό στελέχωσης Δημοσίου τομέα με όρους τεχνητής νοημοσύνης» και τη πιλοτική εφαρμογή του σε 9 φορείς

Στις 15 Απριλίου η Homo Digitalis κατέθεσε ηλεκτρονική επιστολή ενώπιον της Υπουργού Εσωτερικών, κα. Κεραμέως, σχετικά με το έργο του Υπουργείου με τίτλο «Ανάπτυξη και λειτουργία εργαλείου για τον στρατηγικό προγραμματισμό στελέχωσης Δημοσίου τομέα με όρους τεχνητής νοημοσύνης».

Την επιστολή μας κοινοποιήσαμε στον Πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κ. Μενουδάκο, καθώς και στον Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου Εσωτερικών κ. Θεοχάρη.

Πιο συγκεκριμένα, το εν λόγω έργο σχετίζεται με την ανάπτυξη και λειτουργία εργαλείου για το στρατηγικό προγραμματισμό του ανθρώπινου δυναμικού του δημοσίου τομέα με όρους τεχνητής νοημοσύνης και αφορά τους εξής άξονες:

– Δημιουργία ενός ολοκληρωμένου πλαισίου για τον στρατηγικό προγραμματισμό στελέχωσης (βέλτιστης κατανομής του υφιστάμενου αλλά και του νέου προσωπικού) του Δημοσίου Τομέα (συμπεριλαμβανομένων τεχνικών προδιαγραφών υλοποίησης και αναθεώρησης υφιστάμενων πλαισίων)

– Πιλοτική εφαρμογή σε 9 Φορείς του Δημοσίου και πιο συγκεκριμένα σε ΜΟΔ ΑΕ, ΑΑΔΕ, ΟΑΕΔ, Γενικό Νοσοκομείο Αθηνών “Γ. Γεννηματάς”, Δήμος Θεσσαλονίκης, Περιφέρεια Αττικής, Υπουργείο Παιδείας και Θρησκευμάτων, Υπουργείο Περιβάλλοντος και Ενέργειας και Υπουργείο Πολιτισμού και Αθλητισμού,

– Σχεδιασμός προγραμμάτων κατάρτισης για α) τους χρήστες και β) την αναβάθμιση των δεξιοτήτων των δημοσίων υπαλλήλων, και

– Ανάπτυξη του αποθετηρίου γνώσεων των Δημοσίων Υπαλλήλων.

Σύμφωνα με σχετικές πληροφορίες που έχουν αναρτηθεί στον ιστότοπο του ΔΙΑΥΓΕΙΑ, αλλά και αρθρογραφία σε διάφορα ΜΜΕ, το Υπουργείο Εσωτερικών αποτελεί τον υπεύθυνο του έργου, ενώ έχει ήδη συμβληθεί με την εταιρία Deloitte για την εκπόνηση του. Mάλιστα με βάση το σχετικό χρονοδιάγραμμα, οι εργασίες έχουν σημειώσει σημαντική πρόοδο.

Με την επιστολή της η Homo Digitalis αιτείται να πληροφορηθεί από την Υπουργό για μία σειρά από ερωτήματα αναφορικά τόσο με το νομικό πλαίσιο προστασίας προσωπικών δεδομένων (ν.4624/2019 – GDPR), όσο και σχετικά με το νομικό πλαίσιο χρήσης συστημάτων τεχνητής νοημοσύνης από τον δημόσιο τομέα (ν.4961/2022), καθώς η πιλοτική εφαρμογή του έργου αναμένεται άμεσα στους 9 φορείς που αναφέρθηκαν ανωτέρω.

Συγκεκριμένα, θέσαμε με την επιστολή μας τα εξής ερωτήματα στην κα. Υπουργό:

  1. Είχε προχωρήσει το Υπουργείο Εσωτερικών σε εκπόνηση εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων πριν την διακήρυξη του έργου, σύμφωνα με τις αρχές της προστασίας προσωπικών δεδομένων «ήδη από τον σχεδιασμό» και «εξ ορισμού»;
  2. Έχει καταρτιστεί σχετική Εκτίμηση Αντικτύπου σχετικά με την προστασία δεδομένων ειδικά αναφορικά με την πιλοτική εφαρμογή της πλατφόρμας στους 9 φορείς του Δημοσίου;
  3. Εάν έχουν εκπονηθεί οι σχετικές Εκτιμήσεις, κρίνατε αναγκαίο να προχωρήσετε σε σχετική διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα;
  4. Θεωρείτε τους 9 φορείς του Δημοσίου ως από κοινού υπεύθυνους επεξεργασίας μαζί με το Υπουργείο Εσωτερικών και εάν ναι, έχετε προχωρήσει στις σχετικές υποχρεώσεις όπως ορίζονται στο άρθρο 26 ΓΚΠΔ;
  5. Θα μπορούσατε να μας ενημερώσετε για τις σχετικές κατηγορίες προσωπικών δεδομένων, τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα αυτά, καθώς και τη νομική βάση για την επεξεργασία που σκοπεύετε να χρησιμοποιήσετε.
  6. Θα μπορούσατε να μας υποδείξετε την ακριβή διεύθυνση στην οποία έχει αναρτηθεί η σύμβαση του Υπουργείου Εσωτερικών με την Deloitte προκειμένου να μελετήσουμε τις σχετικές διατάξεις που αυτή περιλαμβάνει, ειδικά αναφορικά με την επεξεργασία προσωπικών δεδομένων;
  7. Τέλος, έχει το Υπουργείο Εσωτερικών προχωρήσει σε συμμόρφωση με τις υποχρεώσεις που ανακύπτουν από τις διατάξεις του ν.4961/2022, και συγκεκριμένα έχει εκπονηθεί κάποια αλγοριθμική εκτίμηση αντικτύπου (άρθρο 5), έχει προχωρήσει σε λήψη των αναγκαίων μέτρων διαφάνειας (άρθρο 6), έχει ο ανάδοχος του έργου εκπληρώσει τις σχετικές τους υποχρεώσεις (άρθρο 7), και έχει το υπουργείο τηρήσει σχετικό μητρώο (άρθρο 8) ενόψει της επικείμενης πιλοτικής χρήσης του συστήματος;

 

by Homo Digitalis