NIS2, GDPR και Ανθεκτικότητα: Διδάγματα από την Επανάσταση του 1821
Γράφει ο Τάσος Αραμπατζής
Η κυβερνοασφάλεια και η προστασία προσωπικών δεδομένων είναι δύο άρρηκτα συνδεδεμένες έννοιες στον σύγχρονο ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση, μέσα από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και την Οδηγία NIS2, θέτει αυστηρά πλαίσια για την προστασία των προσωπικών δεδομένων, την διαχείριση των κινδύνων φυσικών και ψηφιακών, και την ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών.
Ωστόσο, παρά τις ομοιότητες, πολλές επιχειρήσεις και οργανισμοί εξακολουθούν να αντιμετωπίζουν τις δύο ρυθμίσεις ως ξεχωριστές υποχρεώσεις συμμόρφωσης, με αποτέλεσμα αυξημένο κόστος και πολυπλοκότητα. Ωστόσο, οι μεμονωμένες τακτικές οδηγούν σε σπατάλη πόρων και σε αβέβαια αποτελέσματα, ένα μάθημα που ως χώρα το έχουμε μάθει από την εποχή της Επανάστασης του 1821.
Όταν οι Έλληνες αποφάσισαν να αποκτήσουν ενιαία στρατηγική απέναντι στον κοινό εχθρό, η Επανάσταση πήρε μία εντελώς διαφορετική τροπή οδηγώντας στο ανεξάρτητο Ελληνικό κράτος του 1830. Αυτό το μάθημα βρίσκει απόκριση και στην αντιμετώπιση των προκλήσεων της συμμόρφωσης με μία πληθώρα κανονιστικών απαιτήσεων.
Μια ενιαία στρατηγική διακυβέρνησης μπορεί να συμβάλει στη μείωση αυτών των προκλήσεων, εξασφαλίζοντας ταυτόχρονα υψηλότερο επίπεδο προστασίας δεδομένων και ανθεκτικότητας απέναντι σε κυβερνοαπειλές.
Τι είναι η Οδηγία NIS2 και γιατί είναι σημαντική;
Η Οδηγία NIS2 (Network and Information Security Directive 2) αποτελεί την αναβαθμισμένη εκδοχή του αρχικού NIS, με στόχο την ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας κρίσιμων υποδομών στην Ευρώπη.
Οι βασικές αλλαγές του NIS2 περιλαμβάνουν:
Διεύρυνση του πεδίου εφαρμογής: Περιλαμβάνει πλέον περισσότερους τομείς, όπως η υγειονομική περίθαλψη, η διαχείριση υδάτων, η ενέργεια, οι τράπεζες, οι δημόσιες υπηρεσίες και οι πάροχοι ψηφιακών υπηρεσιών.
Αυστηρότερες απαιτήσεις ασφάλειας: Οι οργανισμοί πρέπει να υιοθετήσουν στρατηγικές διαχείρισης κινδύνων που περιλαμβάνουν μέτρα όπως έλεγχος πρόσβασης, κρυπτογράφηση, διαχείριση εφοδιαστικής αλυσίδας και ανθεκτικότητα σε κυβερνοεπιθέσεις.
Υποχρέωση αναφοράς περιστατικών: Οι επιχειρήσεις πρέπει να ενημερώνουν άμεσα τις αρμόδιες αρχές για κυβερνοεπιθέσεις που μπορούν να επηρεάσουν τη λειτουργία τους.
Αυστηρότερα πρόστιμα: Οι διοικήσεις οργανισμών φέρουν πλέον προσωπική ευθύνη για την εφαρμογή πολιτικών κυβερνοασφάλειας, με κυρώσεις που μπορούν να αγγίξουν το 2% του ετήσιου κύκλου εργασιών ή 10 εκατ. ευρώ.
NIS2 και GDPR: Συγκλίσεις και Αποκλίσεις
Το NIS2 και ο GDPR στοχεύουν αμφότερα στην προστασία δεδομένων, και αυτό είναι απόλυτα λογικό εάν αναλογιστούμε την σημασία των δεδομένων – προσωπικών και εταιρικών – στην διαδικασία λήψης αποφάσεων. Εντούτοις, προσεγγίζουν το ζήτημα από διαφορετικές οπτικές:
| Κοινά σημεία | |
| Διαχείριση κινδύνων και προστασία δεδομένων | Αμφότεροι οι κανονισμοί απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα προστασίας για την αποφυγή διαρροής ή παραβίασης δεδομένων. |
| Υποχρέωση αναφοράς περιστατικών | Οι επιχειρήσεις οφείλουν να αναφέρουν σοβαρά περιστατικά ασφαλείας στις αρμόδιες αρχές (DPA για τον GDPR, CSIRT/National Competent Authorities για το NIS2). |
| Πρόστιμα και κυρώσεις | Η μη συμμόρφωση με τις απαιτήσεις μπορεί να οδηγήσει σε υψηλά πρόστιμα και νομικές επιπτώσεις. |
| Διαφορές | |
| Εστίαση | Ο GDPR προστατεύει τα προσωπικά δεδομένα φυσικών προσώπων, ενώ ο NIS2 εστιάζει στην ασφάλεια των δικτύων και πληροφοριακών συστημάτων κρίσιμων υποδομών. |
| Υποχρεώσεις συμμόρφωσης | Ο GDPR απαιτεί την εφαρμογή αρχών προστασίας δεδομένων (data minimization, purpose limitation), ενώ ο NIS2 απαιτεί ενισχυμένα μέτρα κυβερνοασφάλειας (ανθεκτικότητα συστημάτων, διαχείριση εφοδιαστικής αλυσίδας). |
Η Ανάγκη για Ενιαία Διακυβέρνηση της Συμμόρφωσης
Οι επιχειρήσεις που δραστηριοποιούνται σε τομείς που καλύπτονται τόσο από τον GDPR όσο και από το NIS2 συχνά υιοθετούν ξεχωριστές στρατηγικές συμμόρφωσης, κάτι που αυξάνει την πολυπλοκότητα και το λειτουργικό κόστος.
Αντί αυτού, η προσέγγιση της ενιαίας διακυβέρνησης της συμμόρφωσης μπορεί να προσφέρει σημαντικά πλεονεκτήματα:
Μείωση κόστους: Αντί για πολλαπλά, παράλληλα compliance προγράμματα, οι οργανισμοί μπορούν να ενοποιήσουν τις πολιτικές τους και να αξιοποιήσουν κοινές δομές (π.χ. Security Operations Centers – SOCs, Risk Management Frameworks).
Απλοποίηση διαδικασιών: Η δημιουργία ενός ενιαίου προγράμματος διαχείρισης κινδύνου που συνδυάζει τις απαιτήσεις του GDPR και του NIS2 μπορεί να μειώσει τη γραφειοκρατία και να επιταχύνει τη συμμόρφωση.
Ενίσχυση της ανθεκτικότητας: Η ενσωμάτωση πρακτικών κυβερνοασφάλειας στο πλαίσιο προστασίας δεδομένων διασφαλίζει ότι τα προσωπικά δεδομένα προστατεύονται όχι μόνο νομικά, αλλά και τεχνικά.
Ενδυνάμωση του ρόλου των DPOs και CISOs: Αντί να λειτουργούν ανεξάρτητα, οι Υπεύθυνοι Προστασίας Δεδομένων (DPOs) και οι Διευθυντές Κυβερνοασφάλειας (CISOs) μπορούν να συνεργάζονται για την επίτευξη κοινών στόχων.
Η Επιτυχία Βρίσκεται στην Στρατηγική: Τι Μας Διδάσκουν οι Ήρωες του 1821
Η 25η Μαρτίου 1821 σηματοδοτεί τον αγώνα για ελευθερία, ανεξαρτησία και ανθεκτικότητα απέναντι στις απειλές. Σήμερα, οι επιχειρήσεις και οι οργανισμοί βρίσκονται σε μια διαφορετική μάχη—την προστασία των δεδομένων και της επιχειρησιακής τους συνέχειας απέναντι σε κυβερνοαπειλές.
Όπως τότε, η επιτυχία δεν έγκειται μόνο στην άμυνα, αλλά στη στρατηγική, τη συνεργασία και την προετοιμασία. Ο NIS2 και ο GDPR δεν πρέπει να θεωρούνται εμπόδια, αλλά ασπίδα προστασίας απέναντι σε έναν ψηφιακό εχθρό που εξελίσσεται διαρκώς. Η υιοθέτηση μιας ενιαίας στρατηγικής διακυβέρνησης είναι το κλειδί για την ανθεκτικότητα, εξασφαλίζοντας ότι οι επιχειρήσεις θα συνεχίσουν να λειτουργούν απρόσκοπτα, ακόμα και μπροστά στις μεγαλύτερες προκλήσεις.
Τα παρακάτω ερωτήματα θα πρέπει να είναι στο πίσω μέρος του μυαλού όλων των στελεχών των επιχειρήσεων:
- Πώς μπορεί η δική σας επιχείρηση να οχυρωθεί απέναντι στις κυβερνοαπειλές και να διασφαλίσει τη συνέχειά της;
- Ποιες στρατηγικές ανθεκτικότητας μπορείτε να υιοθετήσετε σήμερα για να προστατεύσετε τα δεδομένα και τις υποδομές σας;
Η ιστορία μάς διδάσκει ότι η ανθεκτικότητα και η αποφασιστικότητα είναι το κλειδί για την επιβίωση. Το ίδιο ισχύει και για την ψηφιακή εποχή.
Συμμόρφωση στην Εποχή της Τεχνητής Νοημοσύνης και της Κυβερνοασφάλειας: Πρόκληση ή Ευκαιρία;
Γράφει o Τάσος Αραμπατζής
Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.
Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;
Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας
Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.
Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.
Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.
Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.
- EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
- NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.
Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.
Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος
Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;
Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:
- Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
- Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;
Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.
Βελτιώνουν τα Πρόστιμα την Ασφάλεια;
Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.
Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:
“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”
Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;
Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.
Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;
Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;
Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:
- Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
- Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.
Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.
Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:
“Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.”
Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;
Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:
- Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
- Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.
Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.
Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα
Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.
Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.
Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι
Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση - ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.
Ποια θα είναι η δική σας προσέγγιση;
Συνέντευξη της Προέδρου μας, Ελπίδας Βαμβακά, στο Women in Digital
Η Ελπίδα Βαμβακά, Πρόεδρος της Homo Digitalis και General Legal Counsel στο Papaki, μίλησε στο Women in Digital για την ανάγκη προστασίας των ψηφιακών δικαιωμάτων στην Ελλάδα, τη σημασία της τεχνολογίας που θέτει τον άνθρωπο στο επίκεντρο και τους τρόπους με τους οποίους η τεχνητή νοημοσύνη μπορεί να λειτουργήσει υπεύθυνα και ηθικά.
Με έμφαση στις προκλήσεις της κυβερνοασφάλειας, τη σημασία της εκπαίδευσης και την προώθηση της ισότητας των φύλων στον χώρο της τεχνολογίας, η Ελπίδα με τη συνέντευξή της αναδεικνύει το όραμά της για μια δίκαιη, βιώσιμη και χωρίς αποκλεισμούς ψηφιακή κοινωνία. Μπορείτε να διαβάσετε τη συνέντευξή της εδώ.
Το Women In Digital αποτελεί την εκδοτική και συνεδριακή πρόταση της Smarpress. Τα θεμέλια μπήκαν με το πρώτο συνέδριο Women In Digital στις 8/3/21 όταν το «βήμα» πήραν 40 εμβληματικές «ισχυρές κυρίες» της Τεχνολογίας, της Πληροφορικής, των Start Ups και του Ψηφιακού Marketing. Οι αναγνώστες μπορούν να παρακολουθήσουν την ύλη του τόσο μέσω του μηνιαίου newsletter όσο και από το ομώνυμο site. To WID αντλεί τη θεματολογία του από τη δράση των Γυναικών, Ελληνίδων και ξένων, που είτε δραστηριοποιούνται στον κλάδο του STEM, είτε αξιοποιούν τις ψηφιακές τους δεξιότητες σε πιο παραδοσιακούς κλάδους.
Η ΑΠΔΠΧ ερευνά αυτεπαγγέλτως την deepseek
Με επιστολή που απηύθυνε η Αρχή Προστασίας Δεδομένων στη Homo Digitalis στις 5 Φεβρουαρίου σε συνέχεια του από 30/1/2025 αιτήματός μας, το Τμήμα Ελέγχων και Ασφάλειας και η εισηγήτρια ελέγκτρια κα. Φ. Καρβέλα μας ενημερώνουν οτι η Αρχή “έχει εκκινήσει ήδη αυτεπαγγέλτως έλεγχο στις εταιρίες Hangzhou DeepSeek Artificial Intelligence Co., Ltd. και Beijing DeepSeek Artificial Intelligence Co., Ltd., σύμφωνα με τις διατάξεις των άρθρων 57 παρ. 1 α’, 58 παρ. 1 β’ του ΓΚΠΔ και 13 παρ. 1 η’ και 15 παρ. 1 του ν. 4624/2019.”
Αναμένουμε με ιδιαίτερο ενδιαφέρον να μάθουμε περισσότερα για την αυτεπάγγελτη έρευνα της ΑΠΔΠΧ, την πρόοδο της διαδικασίας και τις σχετικές εξελίξεις στην υπόθεση αυτή το προσεχές διάστημα.
Αίτηση της Ηοmo Digitalis ενώπιον της ΑΠΔΠΧ για να ερευνήσει το deepseek: Δηλώσεις μας στην εφημερίδα η Καθημερινή
Την Πέμπτη 30/1, η Homo Digitalis κατέθεσε αίτημα (αριθ. πρωτ. 865/30-01-2025) ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ζητώντας την άσκηση των ερευνητικών εξουσιών της σχετικά με τη χρήση της πλατφόρμας deepseek από υποκείμενα δεδομένων στην Ελληνική Επικράτεια, σύμφωνα με το άρθρο 58 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Διαθέσιμο εδώ.
Τις τελευταίες ημέρες η πλατφόρμα deepseek έχει γίνει ιδιαίτερα δημοφιλής στους χρήστες που βρίσκονται εντός της ελληνικής επικράτειας, εξαιτίας των σχετικών δημοσιευμάτων. Ήδη, εποπτικές αρχές από άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης, όπως η Ιταλική και η Ιρλανδική εποπτική αρχή, αντίστοιχα, έχουν προχωρήσει σε καίριες παρεμβάσεις προκειμένου να περιορίσουν τη χρήση της πλατφόρμας, καθώς με βάση τις πρακτικές επεξεργασίας δεδομένων που λαμβάνουν χώρα, και τον τρόπο που αυτές περιγράφονται στην Πολιτική Απορρήτου της, διαφαίνονται σοβαρές προκλήσεις για την προστασία των προσωπικών δεδομένων των χρηστών της.
Με την αίτηση που καταθέσαμε ζητάμε από την ΑΠΔΠΧ σύμφωνα με το Άρθρο 58(1)(α) και το Άρθρο 58(2)(στ) του ΓΚΠΔ να δώσει εντολή στον υπεύθυνο επεξεργασίας, ήτοι στις εταιρίες Hangzhou DeepSeek Artificial Intelligence Co., Ltd. και Beijing DeepSeek Artificial Intelligence Co., Ltd, να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της προκειμένου να αποσαφηνιστούν οι προκλήσεις για τα δικαιώματα των υποκειμένων των δεδομένων που υπογραμμίζουμε στο σώμα της αίτησής μας, καθώς και να επιβάλει άμεσα περιορισμούς στην επεξεργασία των προσωπικών δεδομένων των χρηστών στην Ελληνική Επικράτεια από την πλατφόρμα deepseek, απαγορεύοντας προσωρινά τη διάθεση και χρήση της στην ελληνική αγορά.
Σήμερα, Κυριακή 2 Φεβρουαρίου, σχετικές δηλώσεις μας φιλοξενούνται και σε άρθρο του δημοσιογράφου Γιάννη Παπαδόπουλου στο κυριακάτικο φύλλο της εφημερίδας “Η Καθημερινή”, που περιγράφει αναλυτικά τις σχετικές εξελίξεις με τοποθετήσεις των καθηγητών Θοδωρή Χρηστάκη, Δημήτρη Παπαηλιόπουλο, Βασίλειο Βλάχο και του ερευνητή ασφαλείας Δημήτρη Σιατήρα. Ευχαριστούμε θερμά τον δημοσιογράφο για το ενδιαφέρον του στις δράσεις μας! Για τη Ηοmo Digitalis, σχόλια παραχώρησε ο Λευτέρης Χελιουδάκης. Μπορείτε να διαβάσετε το σχετικό άρθρο και διαδικτυακά εδώ.
Η Homo Digitalis μίλησε στο Tech & Society Summit στις Βρυξέλλες
Την περασμένη Τρίτη 1/10, η Homo Digitalis βρέθηκε στις Βρυξέλλες, συμμετέχοντας στη Σύνοδο Κορυφής για την Τεχνολογία και την Κοινωνία (Tech & Society Summit) που συνδιοργανώθηκε από τη European Digitalis Rights, τη Homo Digitalis και περισσότερες από άλλες 40 οργανώσεις!
Η εκδήλωση αυτή είχε ως στόχο να φέρει τις φωνές της κοινωνίας των πολιτών στο προσκήνιο των συζητήσεων της ψηφιακής πολιτικής της ΕΕ. Μαζί οικοδομούμε αυτόν τον χώρο για να δημιουργήσουμε μια γέφυρα μεταξύ των οργανώσεων ψηφιακών δικαιωμάτων και των νέων φορέων χάραξης πολιτικής για την επίτευξη υπεύθυνων, ανθρωποκεντρικών πολιτικών που προωθούν τα ψηφιακά δικαιώματα όλων.
O Λευτέρης Χελιουδάκης μας εκπροσώπησε στη Σύνοδο Κορυφής μιλώντας στη συνεδρία «Visionary Round-table: Building an EU Digital Enforcement Strategy» που διοργανώθηκε από την BEUC – The European Consumer Organisation και συντονίστηκε από την Itxaso Domínguez de Olazábal της European Digital Rights! Ήταν μια μοναδική ευκαιρία για εμάς να μοιραστούμε τις δράσεις μας για την επιβολή της νομοθεσίας με στόχο τη διευκόλυνση της αποκατάστασης των ζημιωθέντων ατόμων στην Ελλάδα!
Επίσης, συμμετείχαμε ενεργά στο στρογγυλό τραπέζι “Fundamental Rights in focus: Joint efforts for Spyware Regulation in the EU”, που διοργανώθηκε από το Centre for Democracy & Technology Europe και τη Διεθνή Αμνηστία, μοιραζόμενοι γνώσεις από τις τελευταίες εξελίξεις του σκανδάλου PREDATOR στην Ελλάδα και τις σχετικές νομοθετικές πρωτοβουλίες του ελληνικού κράτους.
Θα θέλαμε να ευχαριστήσουμε θερμά τους διοργανωτές για την πρόσκληση της Homo Digitalis να συμμετάσχει και να μοιραστούμε τις απόψεις και τις δράσεις μας πάνω σε αυτά τα σημαντικά θέματα!
Ετοιμάσαμε ένα επεξηγηματικό βίντεο για την Απόφαση της ΑΠΔΠΧ σχετικά με τις νέες ταυτότητες
Τη Δευτέρα 23/9 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέδωσε την Απόφαση 32/2024, η οποία σχετίζεται με τις νέες ταυτότητες για τους Έλληνες Πολίτες.
Η Αρχή διαπίστωσε πλημμέλειες αναφορικά με την παροχή γενικής ενημέρωσης προς τα υποκείμενα των δεδομένων, ενώ περαιτέρω έκρινε ότι η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις. Για τους λόγους αυτούς επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο 150.000 ευρώ για τις ως άνω παραβάσεις, ενώ παράλληλα απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός εξαμήνου. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.
Η Απόφαση 32/2024 της ΑΠΔΠΧ βρίσκεται διαθέσιμη εδώ.
Η ομάδα της Homo Digitalis έχει ετοιμάσει ένα σύντομο επεξηγηματικό βίντεο σε απλή γλώσσα, προκειμένου να τονίσει κάποια σημαντικά σημεία της Απόφασης αυτής.
Το βίντεο βρίσκεται διαθέσιμο εδώ.
Συνδιοργανώνουμε και συμμετέχουμε στο Tech & Society Summit στις Βρυξέλλες
Το Tech and Society Summit πλησιάζει, και θα πραγματοποιηθεί την Τρίτη, 1 Οκτωβρίου στις Βρυξέλλες! Αυτό το συναρπαστικό συνέδριο, που συνδιοργανώνεται από την EDRi σε συνεργασία με τη Homo Digitalis και περισσότερους από άλλους 40 οργανισμούς, θα συγκεντρώσει κορυφαίους ειδικούς, πολιτικούς και υπερασπιστές των Δικαιωμάτων του Ανθρώπου για να συζητήσουν τη σύνδεση μεταξύ τεχνολογίας και κοινωνικών επιπτώσεων στην Ευρώπη. Το συνέδριο θα καλύψει κρίσιμα θέματα, από τα ψηφιακά δικαιώματα και τη κλιματική αλλαγή έως τις ρυθμίσεις για την τεχνητή νοημοσύνη, συμβάλλοντας στη διαμόρφωση ενός δίκαιου και ισότιμου ψηφιακού μέλλοντος για όλους.
Είμαστε ενθουσιασμένοι που ο Λευτέρης Χελιουδάκης θα εκπροσωπήσει τη Homo Digitalis ως ομιλητής στη συνεδρία Visionary Roundtable: Building an EU Digital Enforcement Strategy. Με σημαντικούς νόμους όπως το Digital Markets Act (DMA), το Digital Services Act (DSA) και το AI Act, ο Λευτέρης θα αναδείξει τις δράσεις της Homo Digitalis συζητώντας για το πώς αυτές οι ρυθμίσεις μπορούν να προστατεύσουν αποτελεσματικά τα δικαιώματα και να ενισχύσουν την ανταγωνιστικότητα της Ευρώπης στον ψηφιακό χώρο.
Επιπλέον, η Homo Digitalis είναι προσκεκλημένη να συμμετάσχει στη συνεδρία Fundamental Rights in Focus: Joint Efforts for Spyware Regulation in the EU, που συνδιοργανώνεται από το Centre for Democracy & Technology Europe (CDT Europe) και τη Διεθνή Αμνηστία. Στη συνεδρία αυτή, θα συναντηθούν βασικοί πολιτικοί και εκπρόσωποι της κοινωνίας των πολιτών για να εξερευνήσουν τους τρόπους ρύθμισης των spyware στην ΕΕ, και θα συζητήσουμε τις εμπειρίες μας από τις σχετικές τελευταίες εξελίξεις στην Ελλάδα.
Μπορείτε να διαβάσετε περισσότερα για το Tech and Society Summit και να δείτε το πρόγραμμά του εδώ.
Ενώ οι τριμερείς διασκέψεις σε επίπεδο ΕΕ συνεχίζονται στο πλαίσιο του προτεινόμενου κανονισμού για τη θέσπιση πρόσθετων διαδικαστικών κανόνων σχετικά με την επιβολή του GDPR, μαζί με την European Digital Rights και άλλες 34 οργανώσεις της Κοινωνίας των Πολιτών ενώνουμε τις φωνές μας σε μία ανοιχτή επιστολή προς τους νομοθέτες!
⚖️ Τους καλούμε να δώσουν προτεραιότητα σε ισχυρούς μηχανισμούς επιβολής, που θα διασφαλίζουν ότι τα άτομα μπορούν να ασκούν ουσιαστικά τα δικαιώματά τους, ενώ υπογραμμίζουμε τις συστημικές αδυναμίες που ενυπάρχουν στην επιβολή των διατάξεων του GDPR.
Διαβάστε την ανοιχτή επιστολή (EN) εδώ.