H προστασία των προσωπικών δεδομένων στην πανδημία του κορωνοϊού
Γράφουν οι Ελπίδα Βαμβακά και Μαρίνα Ζαχαροπούλου*
Μετά το χαρακτηρισμό του νέου κορωνοϊού (COVID-19) ως παγκόσμια πανδημία από τον Παγκόσμιο Οργανισμο Υγείας (ΠΟΥ), η Ευρώπη έγινε το επίκεντρο της κρίσης στον τομέα της υγείας, καθώς ο αριθμός των νέων κρουσμάτων ξεπέρασε εκείνους της Κίνας, χώρα-αφετηρία του ιού.
Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε ολόκληρη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν και να μετριάσουν τις επιπτώσεις του COVID-19.
Τα μέτρα αυτά συχνά, συνεπάγονται την επεξεργασία διαφόρων τύπων προσωπικών δεδομένων.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) προβλέπει τις νόμιμες βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες αρχές δημόσιας υγείας να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων.
Αυτό ισχύει για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (άρθρα 6 και 9 GDPR) ή για τη συμμόρφωσή τους με άλλη νομική υποχρέωση.
Οι αιτιολογικές σκέψεις 46, 52 και 54 του Γενικού Κανονισμού δίνουν μία σαφή προσέγγιση γύρω από τα ζητήματα της επεξεργασίας προσωπικών δεδομένων στην περίπτωση μιας πανδημίας, όπως αυτή που αντιμετωπίζουμε σήμερα.
Βοήθημα κατά την τελική διαμόρφωση της διαδικασίας λήψης αποφάσεων σχετικά με τα μέτρα που εφαρμόζονται για τη διαχείριση του COVID-19, τα οποία αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κάθε οργανισμό αποτελεί η Πράξη Νομοθετικού Περιεχομένου “Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19” ( ΦΕΚ Α’64/14-3-2020).
Το άρθρο 5 της Πράξης αναφέρει ρητά τις κατηγορίες προσωπικών δεδομένων που επιτρέπεται να κοινοποιούνται, τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνονται, το σκοπό της συγκεκριμένης επεξεργασίας, καθώς και το διάστημα που μπορούν τα δεδομένα αυτά να διατηρηθούν (έως και έναν (1) μήνα μετά από τη λήξη της περιόδου εφαρμογής των κατεπειγόντων μέτρων για την αποφυγή της διασποράς του κορωνοϊού COVID-19 και πάντως όχι πέραν της 31.12.2020).
Είναι σημαντικό να κρατήσουμε τη δήλωση που έκανε τη Δευτέρα η Andrea Jelinek, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), σύμφωνα με την οποία, οι κανόνες προστασίας δεδομένων (όπως οι διατάξεις του GDPR) δεν εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωνοϊού.
Η Πρόεδρος υπογράμμισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων και επομένως θα πρέπει να ληφθούν υπόψη ορισμένες εκτιμήσεις για να εξασφαλιστεί η νόμιμη επεξεργασία τους.
Πολλές ευρωπαϊκές αρχές προστασίας δεδομένων, έχουν αρχίσει να παρέχουν καθοδήγηση προς εργοδότες και εργαζόμενους. Όπως θα δούμε παρακάτω μεταξύ των Αρχών υπάρχουν διαφορετικές απόψεις σχετικά με τον τρόπο με τον οποίο οι εργοδότες θα πρέπει να συμμορφώνονται με τις απαιτήσεις προστασίας δεδομένων.
Πιο αναλυτικά:
Περιορισμοί στις δραστηριότητες επεξεργασίας παρακολούθησης δεδομένων υγείας των εργαζομένων:
Ιταλία, Γαλλία, Λουξεμβούργο και Βέλγιο
H Αρχή Προστασίας Προσωπικών Δεδομένων της Ιταλίας ενήργησε ταχέως.
Στις 2 Μαρτίου προειδοποίησε τους εργοδότες να μην εκτελούν «αυτόνομους» ιατρικούς ελέγχους ή να ζητούν προσωπικές πληροφορίες σχετικά με τα μη επαγγελματικά ταξίδια και τις επαφές των εργαζομένων.
Με τη δήλωσή της, η Αρχή Προστασίας Δεδομένων δήλωσε ότι οι εργοδότες πρέπει να απέχουν από τη συλλογή, εκ των προτέρων και με συστηματικό και γενικευμένο τρόπο, πληροφοριών σχετικά με την παρουσία τυχόν συμπτωμάτων γρίπης στον εργαζόμενο και στις πλησιέστερες επαφές του – μεταξύ άλλων μέσω συγκεκριμένων αιτήσεων προς τον εργαζόμενο ή μη εγκεκριμένων ερευνών.
Πρόσθεσε ότι, όλοι οι Υπεύθυνοι Επεξεργασίας δεδομένων πρέπει να συμμορφώνονται αυστηρά με τις οδηγίες που παρέχονται από το Υπουργείο Υγείας και τα αρμόδια όργανα για την πρόληψη της εξάπλωσης του κορωνοϊού, χωρίς να αναλαμβάνουν αυτόνομες πρωτοβουλίες με στόχο τη συλλογή δεδομένων για την υγεία των εργαζομένων, αν οι πρωτοβουλίες δεν ρυθμίζονται από το νόμο ή δεν διατάσσονται από τους αρμόδιους φορείς.
Στην ίδια γραμμή, η CNIL στη Γαλλία, πληροφόρησε τους οργανισμούς ότι δεν πρέπει να συλλέγουν πληροφορίες σχετικά με τη θερμοκρασία του σώματος του συνόλου των εργαζομένων ή των επισκεπτών τους ή γενικευμένες πληροφορίες για την υγεία και πιθανά συμπτώματα COVID-19.
Αυτό φυσικά, δεν εμποδίζει τους εργοδότες να αναφέρουν συγκεκριμένες περιπτώσεις εργαζομένων με COVID-19 στις αρμόδιες υγειονομικές αρχές.
Η CNIL έχει δηλώσει ρητά ότι, αν ένας εργοδότης ειδοποιηθεί για κρούσμα COVID-19 που αφορά σε υπάλληλό του, ο εργοδότης μπορεί να καταγράφει:
– την ημερομηνία και την ταυτότητα του προσώπου για το οποίο υπάρχει υποψία ότι έχει εκτεθεί στον ιό,
– τα οργανωτικά μέτρα που λαμβάνονται (απομόνωση, απομακρυσμένη εργασία, επαφή με τον γιατρό στο χώρο εργασίας κ.λπ.).
Η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, προειδοποίησε τους εργοδότες να μην απαιτούν από τους υπαλλήλους να ενημερώνουν καθημερινά για τις θερμοκρασίες του σώματος τους ή να συμπληρώνουν τα ιατρικά φύλλα ή τα ερωτηματολόγια.
Τέλος, η βελγική εποπτική αρχή στις οδηγίες που εξέδωσε αναφέρει ότι η δημόσια υγεία και η πρόληψη των ασθενειών δεν είναι ασυμβίβαστες με το δικαίωμα στην ιδιωτική ζωή.
Η επεξεργασία των προσωπικών δεδομένων μπορεί να γίνει βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) και του άρθρου 9 παράγραφος 2 στοιχείο β) του GDPR σε κάθε περίπτωση. Πρέπει, όμως, να τηρούνται οι αρχές της αναλογικότητας, της ελαχιστοποίησης των δεδομένων,της διαφάνειας και της εμπιστευτικότητας.
Υπό το πρίσμα αυτό, ο εργοδότης δεν μπορεί να αποκαλύψει τα ονόματα των μολυσμένων υπαλληλων με COVID-19.
Ο εργοδότης μπορεί να ενημερώσει μόνο τους άλλους υπαλλήλους για την κατάσταση χωρίς να αναφέρει την ταυτότητα τους.
Συλλογή και γνωστοποίηση προσωπικών δεδομένων των εργαζομένων:
Ιρλανδία, Ισπανία, Δανία και Ηνωμένο Βασίλειο
Η Αρχή της Ιρλανδίας, η οποία είναι αρμόδια για πολλές εταιρείες της Silicon Valley, εξέδωσε οδηγίες, σύμφωνα με τις οποίες οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία εφόσον εφαρμόζονται οι κατάλληλες διασφαλίσεις.
Αυτές οι διασφαλίσεις μπορεί να περιλαμβάνουν περιορισμό της πρόσβασης στα δεδομένα, αυστηρές προθεσμίες για τη διαγραφή και άλλα μέτρα, όπως κατάλληλη εκπαίδευση προσωπικού για την προστασία των δικαιωμάτων προστασίας των δεδομένων των ατόμων.
Στην ίδια κατεύθυνση κινείται και η Αρχή της Ισπανίας. Διευκρινίζει παράλληλα ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ’ αρχήν να διενεργείται μονάχα εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση.
Ταυτόχρονα, υπογραμμίζει ότι θα πρέπει να τηρούνται όλες οι αρχές αναφορικά με την επεξεργασία που περιέχονται στο άρθρο 5 του GDPR.
Η Δανέζικη Αρχή, έχει επίσης εκδώσει οδηγίες και αναγνωρίζει ότι σε ορισμένες περιπτώσεις μπορούν να συλλέγονται και να γνωστοποιούνται προσωπικά δεδομένα, συμπεριλαμβανομένων ευαίσθητων προσωπικών δεδομένων, υπογραμμίζοντας όμως την σημασία της αξιολόγησης της νομιμότητας της επεξεργασίας και του περιορισμού στο μέτρο που είναι απαραίτητο.
Η Δανέζικη Αρχή συνιστά συνεπώς στους εργοδότες να εξετάσουν:
– εάν υπάρχει σοβαρός λόγος συλλογής ή αποκάλυψης των εν λόγω προσωπικών δεδομένων,
– εάν τα συγκεκριμένα προσωπικά δεδομένα είναι απαραίτητα, συμπεριλαμβανομένου του κατά πόσον ο σκοπός του εργοδότη μπορεί να επιτευχθεί με τη συλλογή λιγότερων,
– αν είναι απαραίτητο να γνωστοποιήσουν το όνομα του προσβεβλημένου προσώπου ή της καραντίνας αυτού.
Η Αρχή του Ηνωμένου Βασιλείου (ICO), στις οδηγίες που εξέδωσε αναφέρει ότι, οι νόμοι για την προστασία δεδομένων και την ηλεκτρονική επικοινωνία δεν εμποδίζουν την κυβέρνηση, ή άλλους επαγγελματίες Υγείας να αποστέλλουν μηνύματα δημόσιας υγείας στους ανθρώπους, είτε μέσω τηλεφώνου, μηνυμάτων ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν άμεσο μάρκετινγκ.
Ούτε τους εμποδίζει να χρησιμοποιούν την πιο πρόσφατη τεχνολογία για να διευκολύνουν ασφαλείς και γρήγορες διαβουλεύσεις και διαγνώσεις.
Οι δημόσιοι φορείς ενδέχεται να απαιτούν πρόσθετη συλλογή και ανταλλαγή δεδομένων προσωπικού χαρακτήρα για την προστασία από σοβαρές απειλές κατά της δημόσιας υγείας.
Μία πιο ουδέτερη στάση:
Σλοβακία, Σλοβενία, Νορβηγία, Σουηδία, Πολωνία και Γερμανία
Η Αρχή της Σλοβακίας υπογραμμίζει ότι οι μετρήσεις θερμοκρασίας εμπίπτουν στην επεξεργασία μιας ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα και ο GDPR προβλέπει ειδικούς όρους στο άρθρο 9 για τη νόμιμη επεξεργασία τέτοιων δεδομένων.
Η Αρχή της Σλοβενίας αναφέρει ότι οι αρμόδιες αρχές πρέπει να κάνουν εκτιμήσεις κατά περίπτωση και να καθορίσουν ποιες πληροφορίες απαιτούνται για την προστασία των ζωτικών συμφερόντων των πολιτών.
Η Αρχή της Νορβηγίας και η Αρχή της Σουηδίας στις οδηγίες που εξέδωσαν αναφέρουν ότι πληροφορίες όπως το ότι ένας υπάλληλος επέστρεψε από “περιοχή κινδύνου” και ότι έχει τεθεί σε καραντίνα (χωρίς όμως να δίνονται περισσότερες λεπτομέρειες σχετικά με την αιτία) δε θεωρούνται πληροφορίες σχετικές με την υγεία του εργαζομένου.
Ο Πρόεδρος της Πολωνικής Αρχής σε δήλωσή του αναφέρει ότι ο GDPR δεν μπορεί να θεωρηθεί εμπόδιο στην καταπολέμηση του COVID-19, στηρίζοντας τις δηλώσεις του στην αιτιολογική σκέψη 46 του GDPR.
Τέλος, ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας αποδέχεται ότι παρόλο που η επεξεργασία των δεδομένων για την υγεία είναι ουσιαστικά δυνατή μόνο με περιοριστικό τρόπο, τα δεδομένα μπορούν να συλλεχθούν και να χρησιμοποιηθούν για να περιοριστεί η πανδημία ή για την προστασία των εργαζομένων. Πρέπει όμως πάντοτε να τηρείται η αρχή της αναλογικότητας.
Για παράδειγμα, σύμφωνα με τον Επίτροπο, τα ακόλουθα μέτρα για τον περιορισμό και την καταπολέμηση της πανδημίας μπορούν να θεωρηθούν νόμιμα:
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας) των εργαζομένων από τον εργοδότη προκειμένου να προληφθεί ή να περιοριστεί η διάδοση του ιού στους εργαζομένους όσο το δυνατόν καλύτερα. Αυτό περιλαμβάνει ιδίως πληροφορίες σχετικά με τις περιπτώσεις στις οποίες έχει εντοπιστεί μία λοίμωξη ή ο εργαζόμενος έχει έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο και κατά τις οποίες πραγματοποιήθηκε κατά την σχετική περίοδο διαμονή σε περιοχή χαρακτηρισμένη ως περιοχή κινδύνου.
– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων για την υγεία) από τους επισκέπτες, ιδίως για να διαπιστωθεί εάν έχουν μολυνθεί από τον ιό ή έχουν έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο.
Μπορείτε να μείνετε ενημερωμένοι αναφορικά με σχετικές αποφάσεις Αρχών Προστασίας Προσωπικών Δεδομένων ανά τον κόσμο εδώ.
Η Ελληνική Αρχή
Την Τετάρτη 18 Μαρτίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε με τη σειρά της κατευθυντήριες γραμμές τονίζοντας ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού.
Η Αρχή, κινούμενη στην ίδια σελίδα με τις περισσότερες αρχές της Ευρώπης, υπογραμμίζει ότι το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα και πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας.
Διευκρινίσεις για τον ιδιωτικό τομέα
Ο εκάστοτε εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων στηριζόμενος στα άρθρα 42,45 και 49 του ν 3850/2010.
Γενικές Οδηγίες
Η Αρχή διευκρινίζει ότι:
– Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας.
– Πληροφορίες όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα.
Επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου;
Ο υπεύθυνος επεξεργασίας δεν µπορεί εκ προοιµίου να αποκλείσει ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται οι προϋποθέσεις του Γενικου Κανονισμού. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό τηρουµένης της αρχής της ασφαλούς επεξεργασίας μέσω της λήψης απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας.
Η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.
Επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων: Δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.
Γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων Ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή, αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, και ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.
Επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς
Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19
Δημόσιες Αρχές
– Από το Γενικό Κανονισμό παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία που διενεργείται από τις αρµόδιες δηµόσιες αρχές για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες Πράξεις Νομοθετικού Περιεχομένου, προς τον σκοπό της αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού, που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας ( άρθρα 6 παρ. 1 εδ. γ’, δ’ και ε’ και 9 παρ. 2 εδ. β’, ε’ , η’ και θ’ του ΓΚΠΔ )
– Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆).
– Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.
– Η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία.
Αντί επιλόγου
Οι κατευθυντήριες γραμμές που εξέδωσε η ΑΠΔΠΧ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 αποτελούν ένα σημαντικό βοήθημα στην καθημερινή λειτουργία κάθε οργανισμού.
Οι μέρες που διανύουμε σαφώς ανέδειξαν περισσότερο από ποτέ την ανάγκη για ατομική υπευθυνότητα και δράση.
Η δική μας συμβουλή, είναι ότι δεν χρειάζεται πανικός και βιαστικές κινήσεις ούτε στα εργασιακά ζητήματα.
Οι οργανισμοί που θα επεξεργαστούν δεδομένα προσωπικού χαρακτήρα (που ενδεχομένως να αφορούν την υγεία) θα πρέπει πρώτα να θεσπίσουν τις απαραίτητες, ανάλογες και σωστά αιτιολογημένες διαδικασίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη διαχείριση του COVID-19.
Αυτές θα πρέπει να είναι διαφανείς, συμπεριλαμβανομένου του σκοπού της συλλογής των προσωπικών δεδομένων και του χρόνου διατήρησής τους.
Κάθε επεξεργασία δεδομένων στο πλαίσιο της πρόληψης της εξάπλωσης του COVID-19, πρέπει να διεξάγεται κατά τρόπο που εξασφαλίζει την ασφάλεια των δεδομένων, ιδίως όσον αφορά τα δεδομένα υγείας.
Η ταυτότητα των προσβεβλημένων ατόμων, δεν θα πρέπει να γνωστοποιείται στους συναδέλφους, παρά μόνο στην περίπτωση όπου θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, για την επίτευξη της διασφάλισης των ζωτικών συμφερόντων των εργαζομένων.
Όπως συμβαίνει με κάθε επεξεργασία δεδομένων, πρέπει να υποβληθεί σε επεξεργασία μόνο το ελάχιστο απαραίτητο ποσό δεδομένων για την επίτευξη των σκοπών εφαρμογής μέτρων για την πρόληψη ή τη διατήρηση της εξάπλωσης του COVID-19 και μόνο για τον σκοπό αυτό και όχι για άλλους.
Μια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.
Η επόμενη ημέρα από την πανδημία θα έρθει και είναι σημαντικό να βγούμε από αυτή την κατάσταση με όσο το δυνατόν λιγότερες απώλειες σε όλους τους τομείς.
Και όπως εύστοχα τονίζει η καθηγήτρια κ. Μήτρου “Δεν πρέπει να αποτελέσει η πανδημία την θρυαλλίδα νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή μίας γενικευμένης εισβολής στην ιδιωτική ζωή των ανθρώπων”.
*Η Μαρίνα Ζαχαροπούλου είναι απόφοιτος της Νομικής Σχολής του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών και ασκούμενη δικηγόρος. Αυτή την περίοδο παρακολουθεί τις μεταπτυχιακές της σπουδές με τίτλο ” Artificial Intelligence/ Digital Technology Management” στο Πανεπιστήμιο της Bologna.
Τι είναι η Ομομορφική Κρυπτογράφηση;
Γράφει ο Αναστάσιος Αραμπατζής*
Κάθε μέρα επιχειρήσεις, οργανισμοί και υπηρεσίες χειρίζονται πολλές ευαίσθητες πληροφορίες, όπως προσωπικά και χρηματοοικονομικά δεδομένα, τα οποία πρέπει να κρυπτογραφούνται τόσο όταν αποθηκεύονται όσο και κατά τη μετάδοσή τους.
Αν και το «σπάσιμο» των σύγχρονων αλγορίθμων κρυπτογράφησης απαιτεί πολύ μεγάλη επεξεργαστική ισχύ, το οποίο καθιστά την όλη διαδικασία πολύ δαπανηρή και χρονοβόρα για να είναι εφικτή (τουλάχιστον μέχρι την έλευση της κβαντικής υπολογιστικής), είναι επίσης αδύνατο να επεξεργαστούμε τα δεδομένα χωρίς να τα αποκρυπτογραφήσουμε πρώτα. Και η αποκρυπτογράφηση των δεδομένων, τα καθιστά ευάλωτα σε κακόβουλους δρώντες.
Το πρόβλημα με την κρυπτογράφηση των δεδομένων είναι ότι αργά ή γρήγορα θα απαιτηθεί να τα αποκρυπτογραφήσουμε. Μπορούμε να αποθηκεύσουμε τα αρχεία μας κρυπτογραφικά κωδικοποιημένα σε οποιοδήποτε «σύννεφο», αλλά μόλις απαιτηθεί να κάνουμε κάτι με αυτά τα αρχεία, οτιδήποτε από την επεξεργασία ενός εγγράφου του Word έως την υποβολή ερωτημάτων σε μια βάση χρηματοοικονομικών δεδομένων, θα πρέπει πρώτα να «ξεκλειδώσουμε» τα δεδομένα και να τα αφήσουμε ευάλωτα.
Η ομομορφική κρυπτογράφηση (homomorphic encryption), μια σημαντική εξέλιξη στην επιστήμη της κρυπτογραφίας, υπόσχεται να λύσει αυτό το πρόβλημα.
Τι είναι όμως η Ομομορφική Κρυπτογράφηση;
Ο σκοπός της ομομορφικής κρυπτογράφησης είναι να επιτρέψει την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα. Έτσι τα δεδομένα μπορούν να παραμείνουν εμπιστευτικά κατά την επεξεργασία τους, επιτρέποντας την επίτευξη χρήσιμων εργασιών με τα αυτά ενώ είναι αποθηκευμένα σε μη αξιόπιστα περιβάλλοντα. Σε έναν κόσμο κατανεμημένων υπολογιστικών πόρων και ετερογενούς δικτύωσης, αυτή είναι μια εξαιρετικά πολύτιμη δυνατότητα.
Ένα ομομορφικό κρυπτογραφικό σύστημα είναι σαν τις άλλες μορφές ασύμμετρης κρυπτογράφησης, επειδή χρησιμοποιεί ένα δημόσιο κλειδί για την κρυπτογράφηση των δεδομένων και επιτρέπει μόνο στο άτομο με το κατάλληλο ιδιωτικό κλειδί να προσπελάσει τα μη κρυπτογραφημένα δεδομένα.
Ωστόσο, αυτό που το ξεχωρίζει από άλλες μορφές κρυπτογράφησης είναι ότι χρησιμοποιεί ένα αλγεβρικό σύστημα που επιτρέπει σε εμάς ή σε εξουσιοδοτημένους τρίτους να εκτελέσουν μια ποικιλία υπολογισμών (ή λειτουργιών) στα κρυπτογραφημένα δεδομένα.
Στα μαθηματικά ο όρος «ομομορφικό» περιγράφει τον μετασχηματισμό ενός συνόλου δεδομένων σε ένα άλλο διατηρώντας παράλληλα τις σχέσεις μεταξύ των στοιχείων και στα δύο σύνολα. Επειδή τα δεδομένα σε ένα ομομορφικό σύστημα κρυπτογράφησης διατηρούν την ίδια δομή, πανομοιότυπες μαθηματικές λειτουργίες, είτε αυτές εκτελούνται σε κρυπτογραφημένα ή σε μη κρυπτογραφημένα δεδομένα, θα οδηγήσουν σε ισοδύναμα αποτελέσματα.
Η εύρεση μιας μεθόδου για την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα αποτελούσε στόχο της κρυπτογραφίας από όταν προτάθηκε το 1978 από τους Rivest, Adleman και Δερτούζο. Το ενδιαφέρον για αυτό το θέμα οφείλεται στις πολυάριθμες εφαρμογές του στον πραγματικό κόσμο.
Η ανάπτυξη της πλήρους ομομορφικής κρυπτογράφησης αποτελεί μία επαναστατική πρόοδο για το πεδίο της κρυπτογραφίας, επεκτείνοντας σε μεγάλο βαθμό το πεδίο των υπολογισμών που μπορούν να εφαρμοστούν για την επεξεργασία κρυπτογραφημένων δεδομένων ομομορφικά.
Το ενδιαφέρον για τη βελτίωση, υλοποίηση και εφαρμογή της πλήρους ομομορφικής κρυπτογράφησης εντάθηκε όταν ο Craig Gentry δημοσίευσε το 2009 την εργασία του που περιέγραφε λεπτομερώς αυτό το σχήμα ομομορφικής κρυπτογράφησης.
Τύποι Ομομορφικής Κρυπτογράφησης
Υπάρχουν τρεις τύποι ομομορφικής κρυπτογράφησης:
– Μερικώς ομομορφική κρυπτογράφηση
– Κάπως ομομορφική κρυπτογράφηση
– Πλήρης ομομορφική κρυπτογράφηση
Η κύρια διαφορά μεταξύ τους σχετίζεται με τους τύπους και τη συχνότητα των μαθηματικών λειτουργιών που μπορούν να εκτελεστούν σε κρυπτογραφημένα δεδομένα.
Η μερικώς ομομορφική κρυπτογράφηση επιτρέπει την εκτέλεση μόνο συγκεκριμένων μαθηματικών συναρτήσεων σε κρυπτογραφημένες τιμές. Αυτό σημαίνει ότι μόνο μία λειτουργία, είτε πρόσθεση είτε πολλαπλασιασμός, μπορεί να εκτελεστεί απεριόριστα στα κρυπτογραφημένα δεδομένα. Η μερικώς ομομορφική κρυπτογράφηση με πολλαπλασιαστικές λειτουργίες είναι η βάση για την κρυπτογράφηση RSA, η οποία χρησιμοποιείται συνήθως για τη δημιουργία ασφαλών συνδέσεων μέσω SSL/TLS.
Ένα κάπως ομομορφικό σύστημα κρυπτογράφησης είναι αυτό που υποστηρίζει την επιλογή λειτουργίας (είτε πρόσθεση ή πολλαπλασιασμό) μίας ορισμένης πολυπλοκότητας, αλλά αυτές οι λειτουργίες μπορούν να εκτελεστούν μόνο για ένα πεπερασμένο αριθμό.
Πλήρης Ομομορφική Κρυπτογράφηση
Η πλήρης ομομορφική κρυπτογράφηση (Fully Homomorphic Encryption, FHE), παρότι βρίσκεται ακόμα στο στάδιο της ανάπτυξης, έχει πολλές δυνατότητες να καταστήσει τη λειτουργικότητα συμβατή με την ιδιωτικότητα, βοηθώντας να διατηρήσουμε τις πληροφορίες ασφαλείς και προσβάσιμες ταυτόχρονα.
Η πλήρης ομομορφική κρυπτογράφηση χρησιμοποιεί τόσο την πρόσθεση όσο και τον πολλαπλασιασμό, για απεριόριστες φορές, ενώ επιτρέπει με ασφάλεια την ταυτόχρονη εκτέλεση λειτουργιών από πολλαπλά μέρη (multi-party computation). Σε αντίθεση με τις άλλες μορφές ομομορφικής κρυπτογράφησης, μπορεί να χειριστεί τυχαίους υπολογισμούς στα κρυπτογραφημένα δεδομένα.
Εφαρμογές Πλήρους Ομομορφικής Κρυπτογράφησης
Ο Craig Gentry ανέφερε στη διατριβή του ότι «η πλήρης ομομορφική κρυπτογράφηση έχει πολλαπλές εφαρμογές. Για παράδειγμα, επιτρέπει ιδιωτικά ερωτήματα σε μια μηχανή αναζήτησης.
Ο χρήστης υποβάλλει ένα κρυπτογραφημένο ερώτημα και η μηχανή αναζήτησης υπολογίζει μια συνοπτική κρυπτογραφημένη απάντηση χωρίς ποτέ να εξετάσει το περιεχόμενο του ερωτήματος. Επίσης, επιτρέπει την αναζήτηση σε κρυπτογραφημένα δεδομένα. Ένας χρήστης αποθηκεύει κρυπτογραφημένα αρχεία σε έναν απομακρυσμένο διακομιστή αρχείων και μπορεί αργότερα να ανακτήσει από τον διακομιστή μόνο τα αρχεία που (όταν αποκρυπτογραφηθούν) ικανοποιούν ορισμένους περιορισμούς δυαδικής τιμής. Γενικότερα, η πλήρης ομομορφική κρυπτογράφηση βελτιώνει την απόδοση του ασφαλούς υπολογισμού από πολλαπλά μέρη.»
Οι ερευνητές έχουν ήδη προσδιορίσει αρκετές πρακτικές εφαρμογές της πλήρους ομομορφικής κρυπτογράφησης, όπως:
-Προστασία δεδομένων που είναι αποθηκευμένα στο cloud.
Χρησιμοποιώντας την ομομορφική κρυπτογράφηση, μπορούμε να ασφαλίσουμε τα δεδομένα που αποθηκεύουμε στο cloud, διατηρώντας παράλληλα τη δυνατότητα να υπολογίσουμε και να αναζητήσουμε πληροφορίες που μπορούμε να αποκρυπτογραφήσετε αργότερα, χωρίς να διακυβεύουμε την ακεραιότητα των δεδομένων στο σύνολό τους.
-Ανάλυση δεδομένων για ερευνητικούς σκοπούς.
Η ομομορφική κρυπτογράφηση επιτρέπει την κρυπτογράφηση και την αποδέσμευση δεδομένων σε εμπορικά περιβάλλοντα για σκοπούς έρευνας και διαμοιρασμού δεδομένων, προστατεύοντας παράλληλα το απόρρητο των δεδομένων των χρηστών ή των ασθενών. Μπορεί να χρησιμοποιηθεί για επιχειρήσεις και οργανισμούς σε διάφορες βιομηχανίες, όπως χρηματοοικονομικές υπηρεσίες, λιανική πώληση, τεχνολογία πληροφοριών και υγειονομική περίθαλψη, ώστε να επιτρέπουν στους χρήστες να χρησιμοποιούν τα δεδομένα χωρίς να έχουν πρόσβαση στις μη κρυπτογραφημένες τιμές τους.
Παραδείγματα αποτελούν η προγνωστική ανάλυση των ιατρικών δεδομένων χωρίς να τίθεται σε κίνδυνο το απόρρητο των δεδομένων, η διατήρηση του απορρήτου των πελατών για τη διενέργεια εξατομικευμένων διαφημίσεων, οι αλγόριθμοι πρόβλεψης τιμών μετοχών και η ιατροδικαστική αναγνώριση εικόνας.
-Bελτίωση της ασφάλειας των εκλογών και της διαφάνειας.
Οι ερευνητές εργάζονται για το πώς να χρησιμοποιήσουν την ομομορφική κρυπτογράφηση για να καταστήσουν τις δημοκρατικές εκλογές πιο ασφαλείς και διαφανείς. Αυτή η τεχνολογία θα μπορούσε όχι μόνο να προστατεύσει τα δεδομένα από τη χειραγώγηση και αλλοίωση, αλλά θα μπορούσε να επιτρέψει και την ανεξάρτητη επαλήθευση από εξουσιοδοτημένα μέρη.
Περιορισμοί Πλήρους Ομομορφικής Κρυπτογράφησης
Επί του παρόντος υπάρχουν δύο γνωστοί περιορισμοί της πλήρους ομομορφικής κρυπτογράφησης. Ο πρώτος περιορισμός είναι η υποστήριξη για πολλαπλούς χρήστες.
Ας υποθέσουμε ότι υπάρχουν πολλοί χρήστες του ίδιου συστήματος το οποίο βασίζεται σε μια εσωτερική βάση δεδομένων που χρησιμοποιείται για υπολογισμούς, οι οποίοι επιθυμούν να προστατεύσουν τα προσωπικά τους δεδομένα από τον πάροχο του συστήματος. Μια λύση θα ήταν ο πάροχος να έχει μια ξεχωριστή βάση δεδομένων για κάθε χρήστη, κρυπτογραφημένη με το δημόσιο κλειδί του κάθε χρήστη. Εάν όμως η βάση δεδομένων είναι πολύ μεγάλη και υπάρχουν πολλοί χρήστες, η υλοποίηση αυτής της λύσης είναι αδύνατη.
Ένας δεύτερος περιορισμός αφορά εφαρμογές που περιλαμβάνουν την εκτέλεση πολύ μεγάλων και πολύπλοκων αλγορίθμων. Όλα τα πλήρη ομομορφικά συστήματα κρυπτογράφησης έχουν μια μεγάλη υπολογιστική επιβάρυνση, η οποία περιγράφει την αναλογία του χρόνου εκτέλεσης ενός υπολογισμού σε κρυπτογραφημένα δεδομένα έναντι του χρόνου εκτέλεσης του ίδιο υπολογισμού σε μη κρυπτογραφημένα δεδομένα. Αυτή η υπολογιστική επιβάρυνση καθιστά τον ομομορφικό υπολογισμό πολύπλοκων λειτουργιών μη πρακτικό.
Υλοποιήσεις Πλήρους Ομομορφικής Κρυπτογράφησης
Μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας στον κόσμο έχουν ξεκινήσει προγράμματα για να βελτιστοποιήσουν την ομομορφική κρυπτογράφηση και να την καταστήσουν καθολικά διαθέσιμη και φιλική προς τον χρήστη.
Η Microsoft, για παράδειγμα, έχει δημιουργήσει τη βιβλιοθήκη SEAL (Simple Encrypted Arithmetic Library), ένα σύνολο βιβλιοθηκών κρυπτογράφησης που επιτρέπουν την εκτέλεση υπολογισμών απευθείας σε κρυπτογραφημένα δεδομένα. Με την τεχνολογία της ομομορφικής κρυπτογράφησης ανοιχτού κώδικα, η ομάδα της Microsoft συνεργάζεται με εταιρείες για τη δημιουργία υπηρεσιών αποθήκευσης και υπολογισμού κρυπτογραφημένων δεδομένων από άκρο σε άκρο (end-to-end encryption). Οι εταιρείες μπορούν να χρησιμοποιήσουν τη βιβλιοθήκη SEAL για να δημιουργήσουν πλατφόρμες ανάλυσης δεδομένων με χρήση κρυπτογραφημένων πληροφοριών, ενώ οι κάτοχοι των δεδομένων δεν απαιτείται ποτέ να μοιράζονται το κλειδί κρυπτογράφησης με οποιονδήποτε άλλο χρήστη. Ο στόχος, λέει η Microsoft, είναι να «βάλουμε τη βιβλιοθήκη μας στα χέρια κάθε προγραμματιστή, έτσι ώστε να μπορούμε να συνεργαστούμε για πιο ασφαλή, ιδιωτικά και αξιόπιστα υπολογιστικά συστήματα».
Η Google ανακοίνωσε επίσης τη στήριξή της για την ομομορφική κρυπτογράφηση αποκαλύπτοντας το δικό της κρυπτογραφημένο εργαλείο ανοιχτού κώδικα, το Private Join and Compute. Το εργαλείο της Google επικεντρώνεται στην ανάλυση δεδομένων σε κρυπτογραφημένη μορφή, όπου ορατές είναι μόνο οι πληροφορίες που προκύπτουν από την ανάλυση και όχι τα υποκείμενα δεδομένα.
Τέλος, με στόχο να γίνει διαδεδομένη η ομομορφική κρυπτογράφηση, η IBM αποδέσμευσε το 2016 την πρώτη έκδοση της βιβλιοθήκης HElib, η οποία σύμφωνα με πληροφορίες «ήταν 100 τρισεκατομμύρια φορές πιο αργή από τις λειτουργίες σε απλό κείμενο.» Έκτοτε, η IBM έχει εργαστεί για την επίλυση αυτού του προβλήματος και έχει καταλήξει σε μια έκδοση που είναι 75 φορές ταχύτερη, αλλά εξακολουθεί να υστερεί έναντι των αντίστοιχων λειτουργιών επί απλού κειμένου.
Συμπέρασμα
Σε μια εποχή που η εστίαση στην ιδιωτικότητα αυξάνεται, κυρίως λόγω κανονισμών όπως ο GDPR, η έννοια της ομομορφικής κρυπτογράφησης παρέχει πολλές υποσχέσεις για εφαρμογή σε διάφορες βιομηχανίες. Οι ευκαιρίες που προκύπτουν από την ομομορφική κρυπτογράφηση είναι σχεδόν ατελείωτες. Ίσως η πιο συναρπαστική πτυχή είναι ο τρόπος με τον οποίο συνδυάζει την ανάγκη προστασίας της ιδιωτικής ζωής με την ανάγκη για λεπτομερή ανάλυση των δεδομένων. Η ομομορφική κρυπτογράφηση μετέτρεψε την «Αχίλλειο πτέρνα» σε δώρο από τους θεούς.
Η αρχική έκδοση του παρόντος άρθρου δημοσιεύθηκε στην ιστοσελίδα της Venafi.
Η εποχή της "συγκομιδής" των προσωπικών δεδομένων
Γράφει η Αδαμαντία Βολικού*
Η ονομαζόμενη «συγκομιδή δεδομένων» αποτελεί, στη σύγχρονη εποχή, μια δραστηριότητα δημοφιλή και συχνά ιδιαίτερα επικερδή για όσους ασχολούνται με αυτή.
-Μπορεί, ωστόσο, η συγκομιδή αυτή να γίνεται ανεξέλεγκτα ή υπόκειται σε περιορισμούς;
-Και τι συμβαίνει όταν άλλοι συγκεντρώνουν τα προσωπικά μας δεδομένα, τους καρπούς δηλαδή της δικής μας «σοδειάς»;
Τι είναι «συγκομιδή δεδομένων»;
Ο όρος «συγκομιδή» ή «απόξεση» ή «απόσπαση» δεδομένων (data scraping) είναι ένας γενικός όρος, ο οποίος αναφέρεται σε όλες τις μεθόδους που χρησιμοποιούνται και στοχεύουν στην απόκτηση και συλλογή δεδομένων από το διαδίκτυο.
Η συγκομιδή μπορεί να γίνεται από μεμονωμένα άτομα και χειροκίνητα –ποιος από εμάς άλλωστε δεν έχει συλλέξει πληροφορίες από το διαδίκτυο; – ωστόσο, σήμερα, ο συνηθέστερος τρόπος που επιτρέπει τη συλλογή εξαιρετικά μεγάλου όγκου δεδομένων σε ασύγκριτα ταχύτερο χρόνο είναι ο αυτοματοποιημένος. Η αυτοματοποιημένη συγκομιδή δεδομένων πραγματοποιείται με τη χρήση ειδικού λογισμικού, το οποίο στοχεύει στην απόσπαση δεδομένων που βρίσκονται στο διαδίκτυο και, πρακτικά, αποτελεί μια μορφή αντιγραφής δεδομένων, τα οποία συγκεντρώνονται για μεταγενέστερη ανάλυση και χρήση.
Τις βασικότερες μορφές συγκομιδής δεδομένων αποτελούν:
α) η απόσπαση στοχευμένων και συγκεκριμένων δεδομένων από ιστοσελίδες (screen scraping, ελλ. «συγκομιδή δεδομένων οπτικής εξόδου»),
β) η απόκτηση όλων των δεδομένων ενός ιστοτόπου, συμπεριλαμβανομένης της γλώσσας προγραμματισμού του και η μετατροπή τους στη μορφή που επιθυμεί ο αποκτών λ.χ. δημιουργία αρχείου ή βάσης δεδομένων (web scraping ή web harvesting, ελλ. «ιστοσυγκομιδή») και
γ) η χρήση προγραμμάτων-ρομπότ (web spiders, web crawlers, scraper bots, search bots), τα οποία διατρέχουν τις σελίδες του παγκόσμιου ιστού και αντιγράφουν το περιεχόμενό τους και το περιεχόμενο των υπερσυνδέσμων (hyperlinks) που περιέχονται σε αυτές ώστε να δημιουργήσουν ευρετήρια του internet (web crawling ή web spidering, ελλ. «ανίχνευση ιστού»). Η μέθοδος αυτή χρησιμοποιείται κυρίως από μηχανές αναζήτησης (Google, Bing κλπ.), με σκοπό να αυξήσουν, να επικαιροποιήσουν και να κάνουν πιο ελκυστικά τα αποτελέσματα αναζήτησης.
Πού χρησιμεύει η συγκομιδή δεδομένων και πώς μας αφορά;
Η συγκέντρωση και ανάλυση κάθε μορφής δεδομένων και πληροφοριών από ηλεκτρονικά προσβάσιμες πηγές δεν αποτελούν είδηση για το σύγχρονο κόσμο. Χρησιμοποιούνται ευρέως εδώ και έτη σε πολλούς κλάδους που επηρεάζουν άμεσα ή έμμεσα την καθημερινή μας ζωή.
Η συλλογή και χρήση δεδομένων προορίζεται, μεταξύ άλλων, για την προώθηση της ιατρικής έρευνας, την υποστήριξη μεγάλης ή μικρής κλίμακας στατιστικών μελετών, τη διευκόλυνση και ενίσχυση της ακαδημαϊκής έρευνας, την εξέλιξη της επιστήμης γενικότερα και της τεχνολογίας, την προώθηση της οικονομίας και του εμπορίου προς όφελος των καταναλωτών. Στην τελευταία περίπτωση, τα αποτελέσματα των τεχνικών της συγκομιδής δεδομένων γίνονται άμεσα αντιληπτά στο χρήστη του διαδικτύου μέσα από τη δυνατότητα πρόσβασης σε ιστοτόπους σύγκρισης τιμών προϊόντων και υπηρεσιών (λ.χ. τιμές εισιτηρίων, καταλυμάτων και εμπορευμάτων) και τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών ώστε να ανταποκρίνονται στις ανάγκες του σύγχρονου καταναλωτή (λ.χ. έξυπνες συσκευές).
Ωστόσο, η συγκομιδή δεδομένων δεν έχει ως αντικείμενο μόνο την απόκτηση πληροφοριών γενικού, επιστημονικού ή οικονομικού ενδιαφέροντος. Τα προσωπικά δεδομένα των χρηστών του διαδικτύου δηλαδή όλες οι διαθέσιμες στο διαδίκτυο πληροφορίες που σχετίζονται ή μπορούν να σχετιστούν με κάθε χρήστη έχουν ανεκτίμητη αξία για ολόκληρο σχεδόν τον επιχειρηματικό κόσμο του πλανήτη αλλά και για άλλους κλάδους όπως η επιστήμη και η τεχνολογία, για την επιβίωση και εξέλιξή τους σε συνθήκες σκληρού ανταγωνισμού.
Η δραστηριότητα του ανθρώπου στο διαδίκτυο είναι ανεξάντλητη: online αγοραπωλησίες, μέσα κοινωνικής δικτύωσης, επαγγελματική προβολή, υπηρεσίες ηλεκτρονικού ταχυδρομείου, αναζήτηση πληροφοριών, blogs, ανάρτηση σχολίων, υπηρεσίες συνδρομητικές ή όχι, με εγγραφή ή χωρίς. Σύμφωνα με πρόσφατες στατιστικές, ως τις αρχές του 2020 υπολογίζεται ότι κάθε χρήστης παράγει κατά μέσο όρο 1,7 megabytes δεδομένων ανά δευτερόλεπτο. Η ίδια αυτή δραστηριότητα αφήνει πίσω της και τα ίχνη μας, τα προσωπικά δεδομένα, τα οποία γίνονται πολυπόθητο αντικείμενο συγκομιδής.
Με ποιους «μοιραζόμαστε» τα προσωπικά μας δεδομένα;
Η συγκομιδή δεδομένων αποτελεί συνήθη και διαδεδομένη διεθνώς πρακτική για πολλούς κλάδους, οι οποίοι συγκεντρώνουν και αποθηκεύουν τεράστια πακέτα δεδομένων (big data sets) για να τα επεξεργαστούν αργότερα για δική τους χρήση ή για να τα πουλήσουν σε άλλους ενδιαφερόμενους. Η απόσπαση προσωπικών δεδομένων απευθείας από τον παγκόσμιο ιστό γίνεται συχνά δίχως να το γνωρίζουν τα ίδια τα πρόσωπα.
Τα παραδείγματα των κλάδων που δραστηριοποιούνται στη συγκομιδή προσωπικών δεδομένων είναι πολλά:
-Υπεύθυνοι τμημάτων ανθρώπινου δυναμικού και εταιρειών προσλήψεων (recruiters) φιλτράρουν ιστότοπους με βιογραφικά σημειώματα, και προφίλ εργαζομένων, προκειμένου να ενημερώσουν τις βάσεις δεδομένων τους και να διακρίνουν τις τάσεις στην αγορά εργασίας.
-Επιχειρήσεις συλλέγουν δεδομένα για να διαμορφώσουν παγκόσμιες αλλά και τοπικές στρατηγικές προώθησης και διαφήμισης προϊόντων και υπηρεσιών και να διακρίνουν καταναλωτικές τάσεις.
-Πάροχοι τραπεζικών και ασφαλιστικών υπηρεσιών στοχεύουν στην προώθηση προγραμμάτων στους καταναλωτές και στην αξιολόγηση της φερεγγυότητάς τους.
-Η επιστημονική και η ακαδημαϊκή κοινότητα, όπως και τα μέσα μαζικής ενημέρωσης αποσπούν δεδομένα για ερευνητικούς, στατιστικούς και άλλους σκοπούς.
-Δεδομένα από ιστότοπους που περιέχουν ηλεκτρονικές διευθύνσεις ή τηλεφωνικούς αριθμούς χρησιμοποιούνται για ανεπιθύμητες τηλεφωνικές κλήσεις, αποστολή ανεπιθύμητης αλληλογραφίας ή για ηλεκτρονική απάτη.
Πρόσφατα, το σκάνδαλο Facebook-Cambridge Analytica αποκάλυψε τη χρήση της συγκομιδής δεδομένων και στην πολιτική. Εκεί, στόχος της συγκομιδής ήταν ο επηρεασμός της πρόθεσης ψήφου εκατομμυρίων χρηστών της πλατφόρμας.
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστoτόπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα.
Ποια είναι τα προσωπικά δεδομένα;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), ισχύει από τις 25 Μαΐου 2018 στις χώρες της Ευρωπαϊκής Ένωσης και στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Ισλανδία και Λιχτενστάιν). Στο πεδίο του εμπίπτουν όλα τα φυσικά πρόσωπα που βρίσκονται στις χώρες αυτές. Σύμφωνα με τον Κανονισμό, προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») και συντελεί στην αναγνώρισή και ταυτοποίησή του, είτε άμεσα είτε έμμεσα.
Προσωπικά δεδομένα που μπορούν να οδηγήσουν άμεσα στην αναγνώριση ενός φυσικού προσώπου είναι το ονοματεπώνυμο, η διεύθυνση, η ηλεκτρονική διεύθυνση, στοιχεία τραπεζικών λογαριασμών, ημερομηνία γέννησης, στοιχεία επαγγέλματος, δεδομένα υγείας, οπτικό ή ακουστικό υλικό κ.ά.. Επιπλέον, προσωπικά δεδομένα θεωρούνται και όσα χρησιμοποιούνται για την έμμεση αναγνώριση ενός προσώπου δηλαδή αυτή που προκύπτει από το συνδυασμό περισσότερων πληροφοριών. Για παράδειγμα, διευθύνσεις IP, cookies ή άλλα διαδικτυακά ίχνη που αφήνει ένα πρόσωπο κατά την περιήγησή του στο διαδίκτυο, θεωρούνται προσωπικά δεδομένα καθώς όταν συνδυαστούν με άλλα αναγνωριστικά στοιχεία του, οδηγούν έμμεσα στην αναγνώρισή του.
Είναι η συγκομιδή προσωπικών δεδομένων νόμιμη;
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστότοπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα. Οποιοσδήποτε επιχειρεί πρόσβαση και απόσπαση δεδομένων θα πρέπει, αρχικά, να ακολουθεί και να συμμορφώνεται με τους «όρους χρήσης» των ιστοτόπων αυτών. Οι όροι χρήσης ενός ιστότοπου προβλέπουν, συνήθως, αν και σε ποιο βαθμό μπορεί κάποιος να αποσπάσει δεδομένα από αυτόν καθώς και αν απαιτείται για αυτό η προηγούμενη έγγραφη άδεια του ιδιοκτήτη/διαχειριστή του (χαρακτηριστικό παράδειγμα οι όροι του Twitter).
Η απόσπαση δεδομένων κατά παράβλεψη των παραπάνω κανόνων, ή ακόμα και η συγκομιδή δεδομένων από ιστότοπο που δεν έχει αναρτήσει όρους χρήσης ή δεν περιλαμβάνει σε αυτούς περιορισμούς σχετικά με τη συγκομιδή, εκθέτει τον αποσπώντα σε σοβαρούς κινδύνους. Πέρα από την κατάχρηση των κανόνων ηθικής και δεοντολογίας που θεωρείται ότι διέπουν το data scraping, η αθέμιτη και άμετρη χρήση τέτοιων τεχνικών καθιστά αυτόν που τις χρησιμοποιεί υπεύθυνο για παραβίαση του δικαίου των συμβάσεων, των νόμων περί προστασίας της πνευματικής ιδιοκτησίας ή/και του ποινικού δικαίου κατά περίπτωση.
Ειδικότερα, στο πεδίο των προσωπικών δεδομένων, τα τελευταία έτη, η ανεξέλεγκτη και εν αγνοία των χρηστών του διαδικτύου χρήση των τεχνικών συγκομιδής έχει προκαλέσει προβληματισμούς και αντιπαραθέσεις ως προς το αν και σε ποιο βαθμό κινείται εντός νόμιμων ορίων.
Ίσως ο πιο σημαντικός προβληματισμός αφορά στην προστασία των προσωπικών δεδομένων που είναι δημόσια ορατά και προσβάσιμα δηλαδή όσα δεν καλύπτονται από κωδικούς πρόσβασης, ρυθμίσεις απορρήτου και ιδιωτικότητας και άλλα μέτρα προστασίας, και έχουν γίνει δημόσια ορατά είτε από επιλογή του χρήστη, είτε δίχως να το γνωρίζει. Δεν είναι σπάνιο το φαινόμενο, φίλοι, γνωστοί ή άλλοι να αναρτούν στο διαδίκτυο πληροφορίες για εμάς χωρίς να έχουμε ενημερωθεί, ούτε επίσης οι περιπτώσεις στις οποίες τα προφίλ των χρηστών σε διάφορες πλατφόρμες είναι δημόσια ορατά είτε επειδή αμέλησαν να προσαρμόσουν τις ρυθμίσεις ιδιωτικότητας είτε επειδή αυτές είναι γραμμένες σε δυσνόητη γλώσσα.
Το βασικό επιχείρημα όσων αποσπούν δεδομένα (data scrapers) είναι ότι κάθε χρήστης που κατέστησε τα προσωπικά δεδομένα του δημόσια προσβάσιμα παρέχει σιωπηρά τη συγκατάθεσή του για τη συγκομιδή τους αφού γνωρίζει εκ των προτέρων ότι οποιοσδήποτε μπορεί να έχει πρόσβαση σε αυτά. Το επιχείρημα αυτό έκανε δεκτό απόφαση πρωτοβάθμιου δικαστηρίου των ΗΠΑ στην υπόθεση hiQ Labs Inc. v LinkedIn Corpοration.
Στον ευρωπαϊκό χώρο, ο ΓΚΠΔ δεν περιέχει προβλέψεις ή ρυθμίσεις που να αναφέρονται ευθέως στη συγκομιδή δεδομένων. Θέτει, ωστόσο, ένα γενικό πλαίσιο προστασίας των προσωπικών δεδομένων με το οποίο, όσοι εμπλέκονται στη συγκομιδή πρέπει να συμμορφωθούν, εφόσον επιθυμούν οι μέθοδοι αυτές να θεωρούνται νόμιμες και να αποφύγουν κυρώσεις. Το πλαίσιο αυτό θεωρείται ότι προστατεύει τόσο τα δημόσια όσο και τα μη δημόσια προσβάσιμα προσωπικά δεδομένα και ενισχύει το επιχείρημα ότι όταν τα προσωπικά δεδομένα ενός ατόμου είναι δημόσια ορατά και προσβάσιμα, αυτό δεν σημαίνει ότι έχουν τεθεί και σε δημόσια χρήση.
Το προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Είναι επαρκές;
Αρχικά, όσοι πραγματοποιούν συγκομιδή προσωπικών δεδομένων θα πρέπει να στηρίζονται σε κάποιο νόμιμο λόγο/νόμιμη βάση για να το κάνουν.
Από τις νόμιμες βάσεις που προβλέπονται στον ΓΚΠΔ η συγκομιδή μπορεί να στηριχθεί κυρίως σε δύο: είτε στη συγκατάθεση του προσώπου για την επεξεργασία των προσωπικών δεδομένων του, είτε στο να είναι η επεξεργασία απαραίτητη για να εξυπηρετηθούν νόμιμα συμφέροντα αυτού που διενεργεί τη συγκομιδή. Αν όμως τα νόμιμα αυτά συμφέροντα έρχονται σε αντίθεση με θεμελιώδη δικαιώματα των προσώπων, τότε συγκομιδή δεν μπορεί να πραγματοποιηθεί καθώς χάνει τη νόμιμη βάση της.
Επίσης, συγκομιδή στηριζόμενη σε νόμιμα συμφέροντα δεν μπορεί να γίνει όταν πρόκειται να συλλεχθούν «ευαίσθητα προσωπικά δεδομένα» δηλαδή όσα αναφέρονται σε φύλο, καταγωγή, πολιτικές, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή και προσανατολισμό, Εδώ ο ΓΚΠΔ απαιτεί (με εξαιρέσεις) το πρόσωπο να δώσει για τη συγκομιδή όχι απλή αλλά ρητή συγκατάθεση.
Στη συνέχεια, ορίζεται ότι η συγκομιδή δεδομένων θα πρέπει να ακολουθεί ορισμένες βασικές προϋποθέσεις. Αφενός δεν μπορεί να είναι γίνεται απεριόριστα αλλά μόνο στην ποσότητα που είναι απολύτως αναγκαία για το σκοπό για τον οποίο πραγματοποιείται («ελαχιστοποίηση των δεδομένων»). Αφετέρου ο σκοπός αυτός πρέπει να γίνεται γνωστός στα πρόσωπα και να είναι εξ αρχής σαφής και συγκεκριμένος («περιορισμός του σκοπού»).
Τέλος, ο ΓΚΠΔ υποχρεώνει όσους συλλέγουν προσωπικά δεδομένα είτε απευθείας από τα πρόσωπα είτε από άλλες πηγές, όπως συμβαίνει στη συγκομιδή, να ενημερώνουν κάθε πρόσωπο για τη συλλογή και τους σκοπούς της με απλό και κατανοητό τρόπο, γνωστοποιώντας του το κείμενο της λεγόμενης «πολιτικής απορρήτου».
Εφόσον ενημερωθεί, κάθε πολίτης έχει δικαίωμα να επικοινωνήσει με τον αποσπώντα και να ασκήσει τα δικαιώματα που προβλέπει ο ΓΚΠΔ και αυτά είναι: το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία ιδίως όταν αυτή γίνεται αυτοματοποιημένα και στοχεύει στη δημιουργία προφίλ. Αν η επικοινωνία με τον αποσπώντα αποβεί άκαρπη, ο πολίτης μπορεί να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.
Κάπου εδώ ξεκινούν τα προβλήματα. Ο ίδιος ο ΓΚΠΔ δίνει τη δυνατότητα σε όποιον συλλέγει δεδομένα όχι απευθείας από τα πρόσωπα αλλά από άλλες πηγές να μην ενημερώσει χωριστά κάθε πρόσωπο αν η ενημέρωση θεωρείται για κάποιο λόγο αδύνατη (π.χ. κρίνεται αδύνατο να εντοπιστούν όλα τα πρόσωπα ή για να ενημερωθούν όλοι απαιτείται εξοντωτικό κόστος). Σε αυτές τις περιπτώσεις ο αποσπών δεδομένα επιτρέπεται να προχωρήσει σε γενική μόνο ενημέρωση προς το κοινό, μπορεί για παράδειγμα να αναρτήσει τις σχετικές πληροφορίες στον ιστότοπό του.
Είναι αρκετό αυτό για την προστασία των προσωπικών δεδομένων;
Και σημαίνει πώς κάθε πρόσωπο θα πρέπει να επισκεφθεί χιλιάδες ιστoτόπους παγκοσμίως για ενημερωθεί ποιοι αποσπούν προσωπικά του δεδομένα;
Η απάντηση που δίνεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είναι ότι όταν οι αποσπώντες δεδομένα κρίνουν ότι υπάρχει αδυναμία ενημέρωσης, αρκεί να πραγματοποιήσουν τη λεγόμενη «εκτίμηση αντικτύπου» δηλαδή να εξετάσουν μόνοι τους κατά πόσο οι πράξεις τους μπορούν να θέσουν σε κίνδυνο τα δικαιώματα των προσώπων και να λάβουν τα κατάλληλα μέτρα για την προστασία των δεδομένων. Με τη θέση αυτή συντάσσονται και ορισμένες Αρχές Προστασίας Προσωπικών Δεδομένων όπως η βρετανική (ICO) και η ελληνική. Αν δεν υπάρξει ενημέρωση των προσώπων, ούτε εκτίμηση αντικτύπου, τότε όποιος ανακαλυφθεί ότι επιχειρεί συγκομιδή προσωπικών δεδομένων καλείται να πληρώσει πρόστιμο που φτάνει έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης. Πρέπει όμως πρώτα να ανακαλυφθεί…
Τελικά, μπορεί η «αδυναμία ενημέρωσης κάθε προσώπου» να χρησιμοποιηθεί ως δικαιολογία από όσους θέλουν να αποφύγουν να συμμορφωθούν με τον ΓΚΠΔ; Προς το παρόν, η απάντηση είναι αρνητική, και ήρθε από την πολωνική αρχή προστασίας προσωπικών δεδομένων (UODO). H αρχή, τοποθετούμενη αυστηρά υπέρ της προστασίας των προσωπικών δεδομένων, στις αρχές του 2019 επέβαλε πρόστιμο περίπου 220.000 ευρώ σε εταιρεία (Bisnode) επειδή προέβη στη συγκομιδή δημόσια προσβάσιμων προσωπικών δεδομένων εκατομμυρίων Πολωνών ιδιοκτητών επιχειρήσεων με σκοπό να παραχωρήσει έπειτα σε τράπεζες στοιχεία για την πιστοληπτική τους ικανότητα, την ίδια στιγμή που ο μοναδικός τρόπος για να ενημερωθούν οι ίδιοι για τη συλλογή των δεδομένων τους ήταν μέσω μιας σχετικής ανάρτησης της εταιρείας σε ιστοσελίδα της.
Για νεότερες εξελίξεις ας αναμείνουμε στις οθόνες μας.
Υπάρχουν άλλοι τρόποι προστασίας από την αυθαίρετη συγκομιδή δεδομένων;
Η απάντηση είναι θετική, επαφίεται, ωστόσο, στα χέρια αυτών που κατέχουν και διαχειρίζονται τους ιστότοπους από όπου συλλέγονται τα δεδομένα. Η ανάρτηση «όρων χρήσης» σε κάθε ιστότοπο, οι οποίοι να επιτρέπουν την περιορισμένη συγκομιδή δεδομένων μόνο έπειτα από γραπτή άδεια του διαχειριστή ή να απαγορεύουν τη συγκομιδή, έχει θεωρηθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (υπόθεση Ryanair Ltd vPR Aviation BV) ως ένα μέτρο ικανό να περιορίσει την ανεξέλεγκτη συλλογή δεδομένων και να φέρει όσους την επιχειρούν αντιμέτωπους με τις νομικές τους ευθύνες.
Το ίδιο αποτέλεσμα επιτυγχάνεται και με τη χρήση της τεχνολογίας. Κάθε ιστότοπος έχει τη δυνατότητα να περιορίσει τον όγκο των επισκέψεων/αιτημάτων πρόσβασης και απόσπασης δεδομένων που δέχεται από συγκεκριμένες διευθύνσεις IP ή διευθύνσεις IP των scraper bots ή ακόμα και να αποκλείσει εντελώς αυτές (IP addresses blocking). Επίσης, μέσα από τη διαδικασία εγγραφής, σύνδεσης και χρήσης κωδικού πρόσβασης, το περιεχόμενο ενός ιστότοπου γίνεται ορατό μόνο στους εγγεγραμμένους χρήστες του.
Αποτελεσματικές θεωρούνται ομοίως, τόσο η μέθοδος τείχους προστασίας κατά των ρομπότ συγκομιδής (anti-bot firewalls) όσο και η μέθοδος CAPTCHA (επιβεβαίωση ότι η πρόσβαση δεν επιχειρείται από ρομπότ) και, τέλος, η ενσωμάτωση στον ιστότοπο ενός αρχείου ονομαζόμενου robot.txt μέσα από το οποίο ο ιστότοπος ορίζει αν και σε ποιο βαθμό το περιεχόμενό του είναι προσβάσιμο και διαθέσιμο προς συγκομιδή.
Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί.
Αντί για επίλογο
Η συμφιλίωση ανάμεσα στις πρακτικές συγκομιδής και στην προστασία των προσωπικών δεδομένων δεν είναι εύκολη υπόθεση. Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί. Δημιουργούνται πολλά ερωτήματα για το αν το ισχύον νομικό πλαίσιο προστατεύει πλήρως τα προσωπικά δεδομένα και μέχρι να απαντηθούν τη λύση θα μπορούσαν να δώσουν οι ενδιαφερόμενες πλευρές. Όσοι αποσπούν δεδομένα μπορούν να συμμορφώνονται με τους νομικούς και ηθικούς κανόνες, όσοι διαχειρίζονται ιστοσελίδες έχουν τη δυνατότητα με την κατάλληλη τεχνολογία να αποτρέπουν ή να περιορίζουν τη συγκομιδή δεδομένων και οι χρήστες του διαδικτύου μπορούν να είναι προσεκτικότεροι ως προς τις πληροφορίες που επιλέγουν να είναι δημόσια ορατές.
* Η Αδαμαντία Βολικού είναι δικηγόρος με ειδίκευση στο Δίκαιο του Διαδικτύου (Master’s Degree) και στο Αστικό, Αστικό Δικονομικό και Εργατικό Δίκαιο (Μ.Δ.Ε.). Εκπροσωπεί φυσικά και νομικά πρόσωπα σε υποθέσεις που εμπίπτουν στα παραπάνω πεδία ενώ εργάζεται και ως νομική σύμβουλος εταιρειών πάνω σε θέματα προστασίας προσωπικών δεδομένων, πληροφορικής – νέων τεχνολογιών και συμμόρφωσης με τη νομοθεσία. Είναι διαπιστευμένη επαγγελματίας για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων (CIPP/E) από τη διεθνή ένωση IAPP.
Πηγές επιπλέον των υπερσυνδέσμων:
-
- Brett Massimino, Accessing Online Data: Web-Crawling and Information-Scraping. Techniques to Automate the Assembly of Research Data, Journal of Business Logistics, 2016, 37(1): 34–42.
- European Commission, An Introduction to Web Scraping, IT and Legal aspects, ESTP Course on Automated collection of online process: sources, tools and methodological aspects, 2017.
- Vlad Krotov, Leiser Silva, Legality and Ethics of Web Scraping, Twenty-fourth Americas Conference on Information Systems, New Orleans, 2018.
- Adrian Agius, Legal Perspectives on Scraping Data from the Modern Web, https://www.lawinsociety.org/legal-perspectives-on-scraping-data-from-the-modern-web/
- Fiona Campbell, Data Scraping – Considering the privacy issues, 2019, https://privacylawblog.fieldfisher.com/2019/data-scraping-considering-the-privacy-issue