Η Homo Digitalis συμμετέχει σε έργο της ΕΕ για την προώθηση ιδιωτικών και ασφαλών ηλεκτρονικών πληρωμών επόμενης γενιάς
Ένα νέο σύστημα ηλεκτρονικών πληρωμών που είναι κοινωνικά, οικολογικά και φορολογικά υπεύθυνο, για να κάνει τις πληρωμές εύκολες για όλους μας. Αυτός είναι ο στόχος του πιλοτικού προγράμματος Next Generation Internet με την ονομασία NGI TALER.
Η κοινοπραξία NGI TALER συντονίζεται από την ομάδα Θεωρίας Κωδικοποίησης και Κρυπτολογίας του Τεχνολογικού Πανεπιστημίου του Αϊντχόβεν και έχει δέκα ακόμη εταίρους από οκτώ ευρωπαϊκές χώρες (Ολλανδία, Βέλγιο, Γαλλία, Γερμανία, Ελλάδα, Ουγγαρία, Λουξεμβούργο και Ελβετία). Η κοινοπραξία ποικίλλει ως προς τους τύπους των ιδρυμάτων, συμπεριλαμβανομένων ερευνητικών (Τεχνολογικό Πανεπιστήμιο Eindhoven) και εφαρμοσμένων πανεπιστημίων (Berner Fachhochschule BFH), μικρών κερδοσκοπικών εταιρειών (Code Blau GmbH, Taler Systems S.A., VisualVest), μιας δομής (petites singularités), συνεταιριστικών τραπεζών (GLS Bank, MagNet Bank), ενός ιδρύματος (Stichting NLnet) και οργανώσεων της κοινωνίας των πολιτών (E-Seniors Association, Homo Digitalis).
Η λύση πληρωμών GNU Taler διαφέρει από τις τρέχουσες διαδικτυακές μεθόδους πληρωμών, όπως οι πιστωτικές κάρτες ή τα τραπεζικά εμβάσματα, καθώς προσφέρει ιδιωτικότητα για τον αγοραστή: ούτε οι έμποροι (δικαιούχοι) ούτε οι τράπεζες μπορούν να εντοπίσουν ή να συνδέσουν τις πληρωμές με τον καταναλωτή. Αυτό καθιστά το σύστημα παρόμοιο με τα μετρητά για τον καταναλωτή, φέρνοντας αυτό το επίπεδο ιδιωτικότητας στις ηλεκτρονικές πληρωμές.
Είναι επίσης μια επιλογή πληρωμής χωρίς κίνδυνο για τον έμπορο, καθώς δεν υπάρχει ισοδύναμο με πλαστές ή κλεμμένες πιστωτικές κάρτες, καθώς οι πληρωμές εκκαθαρίζονται και επιβεβαιώνονται αμέσως όπως τα μετρητά. Δεν εμπλέκεται νέο νόμισμα, δεν υπάρχει ενεργοβόρα μέθοδος proof-of-work ή proof-of-stake και η έγκριση της πληρωμής διεκπεραιώνεται ακόμη πιο γρήγορα από ό,τι με τις πιστωτικές κάρτες. Το ευρωπαϊκό πρόγραμμα NGI TALER επιβάλλει τη διαφάνεια από την πλευρά του δικαιούχου της πληρωμής , επιτρέποντας στις κυβερνήσεις να καθιστούν τις επιχειρήσεις υπόλογες για τα εισοδήματα και τις φορολογικές τους υποχρεώσεις.
Το NGI TALER χρηματοδοτείται ως πιλοτικό πρόγραμμα στο πλαίσιο της πρωτοβουλίας Next Generation Internet (NGI) στο πλαίσιο του προγράμματος χρηματοδότησης της έρευνας Horizon Europe της Ευρωπαϊκής Επιτροπής και θα διαρκέσει έως το 2026. Το έργο αυτό βασίζεται στο ελεύθερο λογισμικό GNU Taler, το οποίο έχει αναπτυχθεί από την κοινότητα GNU και την Taler Systems S.A., και το οποίο έχει λάβει ευρεία επιδοκιμασία από οικονομικούς εμπειρογνώμονες, συμπεριλαμβανομένων εμπειρογνωμόνων από διάφορες κεντρικές τράπεζες – συμπεριλαμβανομένης της Ελβετικής Εθνικής Τράπεζας (SNB).
Στόχος του προγράμματος είναι να καταστήσει το GNU Taler διαθέσιμο ως σύστημα πληρωμών μέσω δύο ευρωπαϊκών τραπεζών – της GLS Bank (Γερμανία) και της MagNet Bank (Ουγγαρία). Φιλοδοξία του NGI TALER είναι να φτάσει στην ευρωπαϊκή αγορά κατά τη διάρκεια της περιόδου του προγράμματος και να έχει γίνει αποδεκτός και ευρέως αποδεκτός ο μηχανισμός πληρωμών μέχρι το τέλος του προγράμματος.
Κάτω από το καπό, το GNU Taler χρησιμοποιεί κρυπτογραφία τελευταίας τεχνολογίας για την επίτευξη αυτών των χαρακτηριστικών. Η αρχική επένδυση στην απαιτούμενη υποδομή είναι χαμηλή και ο μηχανισμός πληρωμών λειτουργεί πιο αποδοτικά σε σχέση με τις υπάρχουσες λύσεις πληρωμών, με χαμηλότερο κόστος συναλλαγής – ένα όφελος που θα μοιραστούν οι καταναλωτές, οι έμποροι και οι τράπεζες. Αυτό τον καθιστά βιώσιμο υποψήφιο για μικροπληρωμές, δημιουργώντας μια ενδιαφέρουσα και φιλική προς την ιδιωτικότητα εναλλακτική λύση στα έσοδα που βασίζονται σε συνδρομές ή διαφημίσεις για τις εφημερίδες και άλλους εκδότες.
Για περισσότερες πληροφορίες επισκεφθείτε την ιστοσελίδα του έργου εδώ.
Digital Marketing και Προστασία Προσωπικών Δεδομένων
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc *
Είναι πλέον αποδεδειγμένο ότι η προώθηση των σύγχρονων επιχειρήσεων μέσω του ψηφιακού μάρκετινγκ (digital marketing) είναι πιο επιτακτική από ποτέ.
Το φαινόμενο της παγκοσμιοποίησης και ο έντονος ανταγωνισμός στον επιχειρηματικό κόσμο, οι αυξανόμενες απαιτήσεις των καταναλωτών από τα προϊόντα και τις υπηρεσίες που αγοράζουν, η ανάπτυξη του διαδικτύου και των μέσων κοινωνικής δικτύωσης, η αλληλεπίδραση των χρηστών και η εύκολη ηλεκτρονική ανταλλαγή απόψεωνκαθιστούν παραπάνω από απαραίτητη την εκτενή παρουσία των σύγχρονων επιχειρήσεων στο διαδίκτυο.
Συγκεκριμένα, είναι πιο επιτακτική από ποτέ η ανάπτυξη του ψηφιακού μάρκετινγκ, είτε πρόκειται για μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου, είτε για αμειβόμενη αναζήτηση, είτε για διαφήμιση μέσω κοινωνικών μέσων.
Τα παραπάνω συνεπάγονται ολοένα και μεγαλύτερη ανάγκη για συλλογή προσωπικών δεδομένων με σκοπό την εξατομίκευση των διαφημιστικών εμπειριών των – εν δυνάμει – πελατών και την παρακολούθηση της συμπεριφοράς τους στο διαδίκτυο.
Στο πλαίσιο αυτό, οι έννοιες της επιχειρηματικής ηθικής στο ψηφιακό μάρκετινγκ αποκτούν ιδιαίτερη σημασία, με έμφαση στον σεβασμό και την προστασία των προσωπικών δεδομένων, ειδικότερα μετά την έλευση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) τον Μάιο 2018. Πέραν τούτου, καθότι τα δεδομένα αποτελούν ίσως ένα από τα πολυτιμότερα περιουσιακά στοιχεία των σύγχρονων επιχειρήσεων, αυτά πρέπει να προστατεύονται με κάθε τρόπο.
Συνεπώς, κατά την προετοιμασία μιας στρατηγικής ψηφιακού μάρκετινγκ, πρέπει να ακολουθούνται ορισμένοι βασικοί κανόνες δεοντολογίας, όπως η παροχή σωστών πληροφοριών για τα παρεχόμενα προϊόντα / υπηρεσίες, η ειλικρινής διαφήμιση, η επαρκής υποστήριξη προϊόντος / υπηρεσίας, η δυνατότητα να ανταπεξέλθει η επιχείρηση με σταθερότητα και συνέπεια στις ποιοτικές και ποσοτικές απαιτήσεις των καταναλωτών, ο σεβασμός διαφορετικών θρησκευτικών και πολιτικών πεποιθήσεων, η κατανόηση διαφορετικών πολιτισμών και κουλτούρας, η αποφυγή δυσφήμισης του ανταγωνισμού και ο σεβασμός στην προστασία των προσωπικών δεδομένων των πελατών ή των εν δυνάμει πελατών.
Λαμβάνοντας υπόψη όλα τα παραπάνω, δεν είναι λίγες οι συζητήσεις στον επιχειρηματικό κόσμο, για το αν ο νέος Κανονισμός (GDPR) ήρθε για να θέσει εμπόδια στον «διαδικτυακό» κόσμο ή να ωθήσει τις επιχειρήσεις σε πιο ηθικές και ειλικρινείς ενέργειες ψηφιακού μάρκετινγκ, χτίζοντας έτσι πιο ουσιαστικές και ποιοτικές σχέσεις με τους καταναλωτές και απολαμβάνοντας με αυτόν τον τρόπο, μεγαλύτερη ανταπόκριση και αφοσίωση από μέρους τους. Αντί του προβληματισμού και του φόβου για τα δυνητικά πρόστιμα που προβλέπονται λόγω GDPR, μήπως απαιτούνται πλέον – εξ αρχής – ξεκάθαρες ενέργειες, οι οποίες θα σέβονται τα δικαιώματα των χρηστών / πελατών; (privacy by design).
Έχει αποδειχθεί ότι η εμβάθυνση στις ανάγκες των πελατών μπορεί να οδηγήσει στην αύξηση της «ποιότητας» των δεδομένων. Αποκτώντας πιο ποιοτικούς πελάτες μέσω μιας προσέγγισης βασισμένης στην εμπιστοσύνη και την αξιοπιστία, μια επιχείρηση μπορεί να αναμένει πολλά δυνητικά οφέλη.
Με άλλα λόγια, οι χρήστες που χορηγούν τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων, μπορεί να οδηγήσουν σε υψηλότερα ποσοστά «κλικ» και, γενικότερα, αφοσίωσης, ενώ σύμφωνα με τη Cisco, για κάθε δολάριο που δαπανάται για την προστασία της ιδιωτικότητας των πελατών, μια επιχείρηση μπορεί να λαμβάνει έως και 2,70$ σε συναφή οφέλη, όπως ο μετριασμός της απώλειας δεδομένων, η ευελιξία, η καινοτομία, η αφοσίωση των πελατών κλπ.
Στα πλαίσια αυτά, για να δημιουργηθούν σχέσεις εμπιστοσύνης, απαιτείται η επικέντρωση στην εξατομικευμένη εμπειρία των πελατών με τρόπο αυθεντικό και ανθρωπιστικό, η αντιμετώπιση των δεδομένων να συλλέγονται με σεβασμό, να λαμβάνεται η «άδεια» για επεξεργασία πριν τη συλλογή προσωπικών δεδομένων, καθώς και να υλοποιούνται ενέργειες που θα διατηρούν ασφαλή τα δεδομένα.
Οι επιχειρήσεις πρέπει πλέον να προχωρούν σε μια εκτεταμένη έρευνα, έτσι ώστε να γνωρίσουν τους πελάτες τους και στη συνέχεια να καταλήξουν σε μια προσαρμοσμένη και σαφή στρατηγική για να τους προσεγγίζουν σε κάθε στάδιο, εφόσον όμως οι ίδιοι οι πελάτες το επιθυμούν!
Συνεπώς, στην θέση της παραδοσιακής προσέγγισης “one-size-to-all”, η στόχευση πλέον πρέπει να είναι σε πιο προσαρμοσμένες διαφημίσεις που ικανοποιούν τις συγκεκριμένες ανάγκες των πελατών, έχοντας όμως λάβει τεκμηριωμένα την ρητή συγκατάθεσή τους.
GDPR και ψηφιακό μάρκετινγκ – Απαίτηση για συμμόρφωση
Έχοντας παραθέσει τις παραπάνω σκέψεις, κάθε επιχείρηση ή οργανισμός που ασχολείται με το ψηφιακό μάρκετινγκ θα πρέπει να γνωρίζει την ανάγκη συμμόρφωσης με τους νόμους περί προστασίας δεδομένων και ότι οι συνέπειες της μη συμμόρφωσης θα ήταν ανεπιθύμητες, ακόμα και καταστροφικές.
Ακολούθως, παρατίθενται ορισμένες από τις πολλές αρχές συμμόρφωσης που πρέπει να ακολουθεί μια επιχείρηση που ασχολείται με το ψηφιακό μάρκετινγκ. Ενδεικτικά, αλλά όχι περιοριστικά:
Email Marketing
Στην παραδοσιακή πρακτική email marketing, υπήρχε η δυνατότητα αγοράς μαζικής λίστας email και στέλνονταν τυχαία μηνύματα ηλεκτρονικού ταχυδρομείου σε άτομα χωρίς τη συγκατάθεσή τους. Πλέον, η αγορά λιστών ηλεκτρονικού ταχυδρομείου απαγορεύεται αυστηρά.
Η αποστολή ηλεκτρονικής αλληλογραφίας εμπίπτει στις διατάξεις της «αζήτητης ηλεκτρονικής επικοινωνίας» (Ν. 3471/2006) και αφορά δευτερευόντως τα προσωπικά δεδομένα. Σύμφωνα με τις διατάξεις περί αζήτητης ηλεκτρονικής επικοινωνίας, η αποστολή newsletter είναι νόμιμη εφόσον έχει ληφθεί προηγούμενη, ρητή συγκατάθεση από τον λήπτη.
Συνεπώς, σε περίπτωση αποστολής ηλεκτρονικών επικοινωνιών (πχ newsletters) ή στην περίπτωση sms marketing, θα πρέπει οπωσδήποτε να δίνεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).
Επίσης, πρέπει να δίνεται σε κάθε επικοινωνία η δυνατότητα απεγγραφής (ανάκλησης της συγκατάθεσης). Επιπλέον, συστήνεται η διαδικασία double-opt-in (αφού δοθεί το e-mail, αποστολή στο e-mail ενός link για επιβεβαίωση από τον επισκέπτη / χρήστη).
Σχετικά με τους υφιστάμενους πελάτες, υπάρχει η δυνατότητα συνέχισης της αποστολής newsletter για όσα «υποκείμενα» η επιχείρηση μπορεί να αποδείξει ότι είχε κάποια συναλλακτική ή άλλη έννομη σχέση μαζί τους (στα πλαίσια της οποίας συνέλεξε και επεξεργάστηκε προσωπικά δεδομένα).
Συνεπώς, δεν υπάρχει πρόβλημα με την αποστολή newsletter στους πελάτες της επιχείρησης, αρκεί να υπάρχει opt-out disclaimer, το οποίο οι παραλήπτες μπορούν εύκολα να βρουν και να επιλέξουν για να μην λαμβάνουν στο μέλλον newsletter ή άλλες επικοινωνίες.
Σχετικά με διευθύνσεις προσωπικών email που αγοράστηκαν από άλλη εταιρία, εφόσον τα υποκείμενα δεν έχουν παράσχει την συγκατάθεση τους για τη λήψη ηλεκτρονικών επικοινωνιών, οποιαδήποτε αποστολή θα κρινόταν παράνομη, ακόμα και αν αυτή πραγματοποιούνταν για την λήψη σχετικής συγκατάθεσης.
Σωστό και τακτικό «ξεκαθάρισμα» της ηλεκτρονικής βάσης δεδομένων
Γενικά, η ορθή πρακτική είναι ο διαχωρισμός παραληπτών, για τους οποίους είναι δυνατόν να αποδειχθεί η λήψη συγκατάθεσης και για τους οποίους δεν μπορεί να αποδειχθεί η λήψη συγκατάθεσης, στους οποίους και δεν πρέπει να αποστέλλονται ηλεκτρονικές επικοινωνίες.
Επιπλέον σημεία που χρήζουν προσοχής είναι η απόκρυψη παραληπτών email με χρήση της κρυφής κοινοποίησης (bcc), η μη αναφορά στον τίτλο / περιγραφή του e-mail ονοματεπωνύμων ή άλλων δεδομένων με τα οποία μπορεί να ταυτοποιηθεί ένα φυσικό πρόσωπο, η μη συγκάλυψη ταυτότητάς του αποστολέα (επιχείρησης) και το «κλείδωμα» επισυναπτόμενου αρχείου με ευαίσθητα δεδομένα με ταυτόχρονη αποστολή του κωδικού ανοίγματος με sms.
Διαφάνεια στην εταιρική ιστοσελίδα και ορθή διαχείριση Cookies
Η ιστοσελίδα πρέπει να είναι απόλυτα διαφανής σχετικά με τις δραστηριότητες επεξεργασίας της, ειδικά όταν πρόκειται για σκοπούς ψηφιακού μάρκετινγκ.
Οι χρήστες πρέπει να ενημερώνονται για τη φύση της επεξεργασίας και τις δραστηριότητες μάρκετινγκ στις οποίες εμπλέκονται, ενώ πρέπει να τους δίνεται η δυνατότητα να αποδέχονται ή να απορρίπτουν την εγκατάσταση cookies πέραν των «αυστηρώς απαραίτητων».
Σε περίπτωση απόρριψης ή μη επιλογής, θα πρέπει να χρησιμοποιούνται μόνο τα αναγκαία τεxνικά / λειτουργικά cookies που εξασφαλίζουν την απρόσκοπτη λειτουργία του ιστότοπου και όχι τα cookies στατιστικών αναλύσεων, στόχευσης/διαφήμισης κλπ.
Όροι και προϋποθέσεις χρήσης / Πολιτική Προστασίας Δεδομένων
Στην ιστοσελίδα πρέπει επίσης να παρατίθενται οι όροι και οι προϋποθέσεις χρήσης της και η πολιτική / δήλωση προστασίας δεδομένων, με αναφορά στις περιγραφές μεθόδου συλλογής των δεδομένων (για παράδειγμα, από απλή επίσκεψη έως την ολοκλήρωση παραγγελίας μέσω αυτής) και τους τρόπους χρήσης των δεδομένων.
Ειδικά για την πολιτική προστασίας δεδομένων, πρέπει σε αυτήν να εξηγείται με απλό και κατανοητό τρόπο πώς ο ιδιοκτήτης της ιστοσελίδας και τυχόν τρίτα μέρη, συλλέγουν, χρησιμοποιούν και προστατεύουν τα προσωπικά δεδομένα των χρηστών. Επιπλέον, πρέπει να δίνονται στοιχεία επικοινωνίας και επιπλέον πληροφορίες.
Φόρμα επικοινωνίας στην ιστοσελίδα / Φόρμα αποστολής CV
Ενημέρωση του επισκέπτη κατα την συμπλήρωση της φόρμας επικοινωνίας στην ιστοσελίδα ή της φόρμας αποστολής βιογραφικού σημειώματος ότι ο στόχος της επεξεργασίας των προσωπικών δεδομένων είναι αποκλειστικά η παροχή απαντήσεων ή επίλυσης τυχόν προβλημάτων ή το ενδεχόμενο πρόσληψης, με αναφορά κάθε φορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Αξιολόγηση υπηρεσιών τρίτων μερών
Εάν πραγματοποιείται χρήση υπηρεσιών από τρίτους για τους σκοπούς ψηφιακού μάρκετινγκ, τότε πρέπει να προσδιορίζεται πώς συλλέγονται και χρησιμοποιούνται τα δεδομένα μέσω της ιστοσελίδας. Πρέπει να ελέγχονται και να επιβεβαιώνονται εάν οι πολιτικές των τρίτων μερών συμφωνούν με τις προϋποθέσεις του GDPR (πού αποθηκεύονται τα δεδομένα , ύπαρξη κατάλληλων μέτρων ασφαλείας από μέρους των «τρίτων» κλπ.)
Συμμετοχή σε ηλεκτρονικούς διαγωνισμούς
Σε περίπτωση δήλωσης συμμετοχής σε ηλεκτρονικούς διαγωνισμούς μέσω της ιστοσελίδας ή των λογαριασμών κοινωνικής δικτύωσης της επιχείρησης, πρέπει να πραγματοποιείται ενημέρωση ότι τα δεδομένα θα χρησιμοποιηθούν αποκλειστικά για τη διεξαγωγή του διαγωνισμού, με δυνατότητα ανάκλησης της συμμετοχής ανά πάσα στιγμή και ταυτόχρονη αναφορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Σε περίπτωση ηλεκτρονικού διαγωνισμού με έπαθλο όπου οι χρήστες πρέπει να εισέλθουν στην ιστοσελίδα ώστε να δηλώσουν συμμετοχή, απαγορεύεται στους όρους του διαγωνισμού να είναι προεπιλεγμένο το «τετραγωνίδιο» σύμφωνα με το οποίο οι χρήστες παρέχουν την συγκατάθεση τους για την εγκατάσταση cookies στον υπολογιστή τους, ακόμα και αν οι χρήστες μπορούν να το αποεπιλέξουν.
Συγκαταθέσεις λοιπών υποκειμένων για συμμετοχή σε δράσεις ψηφιακού μάρκετινγκ και άλλων δράσεων
Ενδεικτικά, μπορεί να αφορά τη συγκατάθεση προσωπικού, συνεργατών ή/και τρίτων που συνδέονται με την επιχείρηση για την επεξεργασία των προσωπικών τους δεδομένων, με σκοπό την ανάρτηση δεδομένων τους στην ιστοσελίδα, στα μέσα κοινωνικής δικτύωσης ή/και σε άλλα μέσα ενημέρωσης της επιχείρησης. Μπορεί επίσης να αφορά προβολή εκδήλωσης προσωπικού, παράθεση απόψεων συνεργάτη, προβολή εταιρικού video με «πρωταγωνιστές» μέλη του προσωπικού κλπ.).
Συμπερασματικά, οι επιχειρήσεις που δραστηριοποιούνται στον χώρο του Digital & Social Media Marketing δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και τη σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται, αλλά και να υιοθετούν μια σειρά από μέτρα προστασίας και διαφύλαξης των δεδομένων. Παράλληλα, θα πρέπει πάντα να επιτρέπεται στους χρήστες η δυνατότητα να αντιτάσσονται ανά πάσα στιγμή και χωρίς χρέωση στις επεξεργασίες των προσωπικών τους δεδομένων που αφορούν εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ, MSc in International Business and Finance και Diploma in Digital & Social Media Marketing (ACT). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι γενικός γραμματέας και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της Homo Digitalis, μέλος του DPO Network Greece και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
Apple Airtags: Κινδυνεύουμε από μία εφαρμογή που βρίσκει τα κλειδιά μας;
Γράφει η Μιρέλλα Καβαδάκη *
Ετοιμάζεσαι να βγεις έξω. Βάζεις παπούτσια, παίρνεις τσάντα, κινητό, πορτοφόλι, αλλά δε βρίσκεις τα κλειδιά σου. Κάνεις άνω-κάτω το σπίτι και ακόμη πουθενά τα κλειδιά. Οι φίλοι σου σε περιμένουν κι εσύ έχεις ήδη αργήσει αρκετά. Τί κάνεις;
Εάν συνηθίζεις να χάνεις τα πράγματά σου ή να τα ξεχνάς σε διάφορα μέρη -ποιος δεν το κάνει άλλωστε;- η Apple σου προσφέρει τη λύση με το νέο της προϊόν, το AirTag. Η Apple λάνσαρε αυτή τη μικρή κυκλική συσκευή τον Απρίλιο του 2021 με σκοπό να βοηθήσει τους χρήστες των προϊόντων της (Ipad, Iphone, κλπ) να ανιχνεύουν τα αντικείμενά τους.
Πώς λειτουργεί το AirTag και τα πλεονεκτήματά του
Το μόνο που χρειάζεται να κάνει ο χρήστης είναι να τοποθετήσει το AirTag στο αντικείμενο, που επιθυμεί να γνωρίζει την τοποθεσία του. Για παράδειγμα, μπορεί να τοποθετήσει το AirTag στην αποσκευή του, έτσι ώστε σε περίπτωση που χαθεί, να ξέρει πού βρίσκεται. Μάλιστα, ο χρήστης έχει δικαίωμα να συνδέσει στο Apple ID του έως και 16 διαφορετικά AirTag, πράγμα που σημαίνει ότι μπορεί να ανιχνεύσει έως και 16 διαφορετικά αντικείμενα.
Το AirTag είναι μία μικρή συσκευή 1.26 ιντσών, το οποίο μεταδίδει συνεχώς σήμα μέσω Bluetooth. Το iPhone/iPad σας, ή τα iPhone/iPad αγνώστων που μπορεί να περπατήσουν εντός της εμβέλειας Bluetooth του AirTag σας, διαβιβάζουν το σήμα στην Apple μέσω του διαδικτύου, μαζί με τις συντεταγμένες GPS του σημείου που βρισκόταν το τηλέφωνο ή το tablet, όταν εντόπισε το σήμα.
Δεν είναι η πρώτη φορά που κυκλοφορεί ένα τέτοιο προϊόν στην αγορά. Η εταιρία Tile προσφέρει 4 hardware συσκευές[1], οι οποίες μπορούν να ενσωματωθούν σε κλειδιά, να μπουν στο πορτοφόλι ή να κολλήσουν στο σκελετό του ποδηλάτου. Ο βασικός λόγος, που τα AirTag καταλαμβάνουν την κυρίαρχη θέση στα προϊόντα αυτής της κατηγορίας είναι το γεγονός ότι το προϊόν της Tile πρέπει να το πετάξεις, όταν τελειώσουν οι μπαταρίες του[2].
Η συσκευή της Tile χρησιμοποιεί επίσης σήμα Bluetooth και μία εφαρμογή για την ανίχνευση των αντικειμένων. Αυτό που είναι καινούργιο σχετικά με τα AirTag δεν είναι τόσο η τεχνολογία που κρύβεται από πίσω, όσο περισσότερο η ευκολία ανίχνευσης του αντικειμένου. Ειδικότερα, μέσω του δικτύου ‘Find My’, στο οποίο είναι συνδεδεμένοι οι χρήστες Iphone/Ipad συσκευών, μεταδίδεται το σήμα της τοποθεσίας του AirTag. Πρόκειται για πάνω από 1 δισεκατομμύριο χρήστες σε όλο τον κόσμο, οι οποίοι, χωρίς καν να το γνωρίζουν, σε βοηθούν να βρεις την τοποθεσία του AirTag σου.
Γίνεται αντιληπτό, λοιπόν, ότι η συσκευή αυτή της Apple λειτουργεί πολύ καλά. Μάλιστα, κάποιοι θα έλεγαν ότι λειτουργεί υπερβολικά καλά, σε σημείο που θα έπρεπε να μας ανησυχεί.
Κίνδυνοι
Σε ένα βίντεο που δημοσιεύθηκε στο μέσο κοινωνικής δικτύωσης TikTok[3] -το οποίο μάλιστα έλαβε πάνω από 30 εκατομμύρια προβολές-, η χρήστης έλεγε ότι έλαβε ειδοποίηση στο iPhone της για ένα άγνωστο αξεσουάρ, το οποίο ταξιδεύει μαζί της από το Τέξας σε μία πτήση προς τη Βοστώνη. Σε βίντεο που ανέβασε η ίδια χρήστης 6 ημέρες μετά, δήλωσε πως βρήκε μία συσκευή AirTag, την οποία κάποιος είχε κολλήσει στο εσωτερικό της τσάντας της.
Παράλληλα, έχουν βγει στη δημοσιότητα αρκετές καταγγελίες για παράνομες δραστηριότητες, οι οποίες σχετίζονται με τα AirTag. Πολλές γυναίκες έχουν βρει τη συγκεκριμένη συσκευή στο αυτοκίνητό τους ή σε κάποια τσάντα τους, ενώ παράλληλα κάποιες αστυνομικές αρχές στις ΗΠΑ και τον Καναδά έχουν ήδη αρχίσει να εκπέμπουν τον κώδωνα του κινδύνου για κλοπές πολυτελών αυτοκινήτων[4].
Πριν ακόμη κυκλοφορήσουν τα AirTag στην αγορά, είχαν αρχίσει να εκφράζονται σοβαρές ανησυχίες για τη χρήση τους. Συγκεκριμένα, το Εθνικό Δίκτυο για την Καταπολέμηση της Ενδοοικογενειακής Βίας (National Network to End Domestic Violence – NNEDV) στις ΗΠΑ, σημειώνει τους κινδύνους που εγκυμονεί η συγκεκριμένη συσκευή, ειδικά για άτομα, που ζουν σε κακοποιητικά περιβάλλοντα. Όπως εξηγούν, είναι πολύ πιθανό να χρησιμοποιηθεί το AirTag με σκοπό την ανίχνευση ενός προσώπου, όταν για παράδειγμα αυτό προσπαθεί να διαφύγει από ένα κακοποιητικό περιβάλλον.
Πρόκειται για ζητήματα, τα οποία θα έπρεπε να ληφθούν σοβαρά υπόψη από τις εταιρίες που κατασκευάζουν συσκευές ανίχνευσης. Με τη βία κατά των γυναικών να αυξάνεται τα τελευταία χρόνια (γυναικοκτονίες, βιασμοί, απόπειρες σεξουαλικής παρενόχλησης), η τεχνολογία θα έπρεπε να αποτελεί τροχοπέδη τέτοιων περιστατικών και όχι να τα διευκολύνει να συμβούν.
Σε ερώτηση του δικτύου NNEDV σχετικά με το παρόν ζήτημα, η Apple απάντησε:
«Λαμβάνουμε την ασφάλεια των πελατών μας πολύ σοβαρά και αφοσιωνόμαστε στην ιδιωτικότητα και την ασφάλεια του AirTag. Το AirTag είναι σχεδιασμένο με ένα σύνολο προληπτικών χαρακτηριστικών για να αποθαρρύνει την ανεπιθύμητη παρακολούθηση -για πρώτη φορά στον κλάδο- και το δίκτυο Find My περιλαμβάνει ένα «έξυπνο» σύστημα με αποτρεπτικά μέτρα, που ισχύει για το AirTag, καθώς και για προϊόντα τρίτων που αποτελούν μέρος του Find My δικτύου. Ανεβάζουμε τον πήχη στο απόρρητο για τους χρήστες μας και τον κλάδο και ελπίζουμε ότι θα ακολουθήσουν και άλλοι.»[5].
Είναι αλήθεια. Η Apple έχει χτίσει ορισμένα συστήματα προστασίας. Προκειμένου να καταπολεμήσει το «ανεπιθύμητο tracking», η Apple έκανε δύο σημαντικές αναβαθμίσεις στο σύστημά της. Πρώτον, τα AirTag πλέον μπορούν να ειδοποιούν τα πιθανά θύματα, με ηχητικές ειδοποιήσεις και μηνύματα σχετικά με ύποπτο AirTag, το οποίο έχει συνδεθεί και παρακολουθεί το iPhone. Ωστόσο, όπως τονίζει και ο Goeffrey Fowler[6], συσκευές άλλων εταιριών (π.χ. που χρησιμοποιούν λογισμικό Αndroid[7]) δε γίνεται καν να στείλουν τη συγκεκριμένη ειδοποίηση στους χρήστες τους.
Δεύτερον, το AirTag θα βγάζει ήχο, εάν βρίσκεται μακριά από τον ιδιοκτήτη του για πολύ καιρό. Αρχικά το διάστημα αυτό ήταν 3 ημέρες, ενώ πλέον η Apple το έχει ορίσει στις 8-24 ώρες. Προβληματικό είναι ωστόσο ότι η ίδια η ειδοποίηση δεν κρατάει πάνω από 15 δευτερόλεπτα.
Πρόσφατα, η Apple ανακοίνωσε την κυκλοφορία μιας νέας εφαρμογής που ονομάζεται Tracker Detect, την οποία μπορούν να κατεβάζουν οι χρήστες άλλων συσκευών προκειμένου να λαμβάνουν ειδοποιήσεις[8].
Τέλος, η Apple υποστηρίζει ότι κάθε AirTag είναι καταχωρημένο με το Apple ID του κατόχου του, το οποίο η εταιρία μπορεί να διαθέσει στις αρχές -μαζί με τις σχετικές προσωπικές πληροφορίες του.
Συμπεράσματα
Είναι πραγματικά αξιοθαύμαστο το πόσα πλεονεκτήματα μπορεί να προσφέρει η τεχνολογία στη ζωή μας, καθώς και πόσα προβλήματα μπορεί να επιλύσει. Από τα πιο «μικρά» και καθημερινά προβλήματα έως σοβαρότερα και μεγαλύτερου βεληνεκούς. Συγχρόνως όμως, αρκετές φορές παρατηρείται ότι από αυτές τις λύσεις δημιουργούνται καινούργια προβλήματα.
Σίγουρα τα προβλήματα που αναφέρθηκαν είναι αρκετά σημαντικά. Η χρήση συσκευών, όπως τα AirTags, δημιουργεί ζητήματα ιδιωτικότητας και ασφάλειας των ανθρώπων. Ακόμη και αν εμείς οι ίδιοι αποφασίσουμε να μην αγοράσουμε τη συγκεκριμένη συσκευή, το μόνο που καταφέρνουμε είναι εμείς να μην ανιχνεύσουμε άλλους ανθρώπους. Όχι να μην ανιχνευθούμε εμείς.
Είναι αρκετά ενθαρρυντικό το γεγονός ότι η Apple από την πρώτη στιγμή κυκλοφορίας του προϊόντος της προσπαθεί να δημιουργήσει δικλείδες ασφαλείας. Παράλληλα, ζώντας στον κόσμο της πληροφορίας, δεν μπορούμε να αγνοήσουμε τη συνεισφορά των μέσων κοινωνικής δικτύωσης στη διάδοση του συγκεκριμένου γεγονότος και κατ’ επέκταση την επαγρύπνηση άλλων ατόμων.
Ήδη από τις 13 Δεκεμβρίου, η Apple δημοσίευσε στην ιστοσελίδα της σχετικές οδηγίες[9] για τα άτομα που βρίσκουν ένα άγνωστο AirTag ή λαμβάνουν την ειδοποίηση ότι παρακολουθούνται.
Εμείς από την πλευρά μας εξακολουθούμε να παρακολουθούμε τις εξελίξεις, οι οποίες ειδικά στον κόσμο της τεχνολογίας τρέχουν χωρίς να το καταλάβουμε. Με επίκεντρο πάντα τον άνθρωπο και τα δικαιώματά του.
*Η Μιρέλλα Καβαδάκη είναι δικηγόρος και κάτοχος του μεταπτυχιακού τίτλου σπουδών «Εθνική και Ενωσιακή Διοίκηση» του Παντείου Πανεπιστήμιου.
[1] Μέχρι σήμερα έχουν πωληθεί πάνω από 35 εκατομμύρια συσκευές της εταιρίας Tile. Πηγή: https://www.cnbc.com/2021/04/27/apple-airtags-versus-tile-tracker-how-they-compare.html
[2] The Australian Financial Review. Apple’s AirTags are so good they’re scary. Melbourne [Melbourne], 04 May 2021: 19.
[3] https://www.tiktok.com/@angel.edge95/video/7033117374861577477
[4] https://www.nytimes.com/2021/12/30/technology/apple-airtags-tracking-stalking.html
[5] https://www.fastcompany.com/90630404/apple-airtags-could-enable-domestic-abuse-in-terrifying-ways
[6] https://www.washingtonpost.com/technology/2021/05/05/apple-airtags-stalking/
[7] Αξίζει να σημειωθεί ότι βρίσκονται πάνω από 2,5 δισεκατομμύρια ενεργοί χρήστες Android σε όλο τον κόσμο με πάνω από 3 εκατομμύρια συσκευές. Πηγή: https://www.inmobi.com/blog/2021/08/09/understanding-android-users-worldwide
[8] Η εφαρμογή έχει ήδη λάβει αρκετές αρνητικές κριτικές από τους χρήστες, οι οποίοι τονίζουν το γεγονός ότι δεν τους δίνεται η δυνατότητα λειτουργίας στο background. Εν αντιθέσει, για να λάβουν την ειδοποίηση ότι κάποιος τους παρακολουθεί, πρέπει πρώτα να ανοίξουν την εφαρμογή.
Δημοσιοποίηση ευαίσθητων προσωπικών δεδομένων: μια «πανδημία» στον ψηφιακό κόσμο
Γράφει ο Ευάγγελος Φαρμακίδης*
Αυτό το μήνα γίναμε μάρτυρες μιας σειράς πρωτόγνωρων περιστατικών παράνομης βίας, η οποία ακολουθήθηκε από μια εξίσου πρωτόγνωρη προσβολή του συνταγματικώς και σε διεθνείς, ευρωπαϊκές και ενωσιακές συμβάσεις και συνθήκες κατοχυρωμένου δικαιώματος στην ιδιωτική ζωή υπό την ειδικότερη έκφανση της προστασίας των δεδομένων προσωπικού χαρακτήρα των ανθρώπων που υπήρξαν θύματα αυτών.
Το πρώτο περιστατικό βίας έλαβε χώρα στις 7-3-2021 και αφορά τον αδικαιολόγητο ξυλοδαρμό με μεταλλικό γκλοπ πολίτη από αστυνομικό στην πλατεία Νέας Σμύρνης.
Αυτό το περιστατικό βίας ακολουθήθηκε από μια βάναυση προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων του πολίτη, ο οποίος την προηγούμενη ημέρα είχε ξυλοκοπηθεί.
Συγκεκριμένα, στις 8-3-2021 βουλευτής προσπαθώντας χωρίς ιδιαίτερη επιτυχία να δικαιολογήσει την παραπάνω πράξη παράνομης βίας εκ μέρους του αστυνομικού, προχώρησε σε δημοσιοποίηση ακόμα και ευαίσθητων προσωπικών δεδομένων του πολίτη, ο οποίος ξυλοκοπήθηκε.
Ο βουλευτής αποκάλυψε κατά τη διάρκεια ζωντανής μετάδοσης σε γνωστό τηλεοπτικό σταθμό τόσο δεδομένα που αφορούν την ταυτότητά του, όσο και δεδομένα που σχετίζονται με τις πολιτικές πεποιθήσεις του, τη συμμετοχή του σε ένωση προσώπων σχετική με τις παραπάνω πεποιθήσεις, καθώς και δεδομένα που αφορούν ποινικές διώξεις.
Μάλιστα ως «απάντηση» στην διαρροή των δεδομένων του πολίτη, διέρρευσαν στη συνέχεια στο διαδίκτυο και τα δεδομένα του αστυνομικού που τον ξυλοκόπησε, συμπεριλαμβανομένων φωτογραφιών του και των πολιτικών του πεποιθήσεων.
Στις 9-3-2021 ακολούθησε ένα ακόμη περιστατικό βίας. Ένας 24χρονος αστυνομικός της ομάδας Δράση κατά τη διάρκεια της υπηρεσίας του ξυλοκοπήθηκε βάναυσα από ομάδα διαδηλωτών, οι οποίοι κατάφεραν να τον ρίξουν από την υπηρεσιακή μηχανή στην οποία επέβαινε ως συνοδηγός.
Αμέσως μετά το παραπάνω περιστατικό στα μέσα μαζικής ενημέρωσης, καθώς και στα μέσα κοινωνικής δικτύωσης διέρρευσαν προσωπικά δεδομένα του αστυνομικού-θύματος που σχετίζονταν με την ταυτότητά του, την καταγωγή του, την οικογένειά του, την επαγγελματική και προσωπική του ζωή κατά τη διάρκεια και πριν την κατάταξή του στην Ελληνική Αστυνομία, καθώς και δεδομένα που αφορούν τα πολιτικά του φρονήματα, τις θρησκευτικές και φιλοσοφικές του πεποιθήσεις και τη συμμετοχή του σε σχετικές οργανώσεις.
Τις επόμενες ημέρες «παρέλασαν» μπροστά από τις οθόνες μας πλήθος δεδομένων προσωπικού χαρακτήρα υπόπτων και κατηγορουμένων για την παραπάνω αξιόποινη πράξη κατά του αστυνομικού.
Μεταξύ των άλλων διέρρευσαν στα μέσα μαζικής ενημέρωσης και στα μέσα κοινωνικής δικτύωσης προσωπικά δεδομένα που αφορούσαν την ταυτότητα τους, την καταγωγή τους, την οικογενειακή και επαγγελματική τους ζωή, προηγούμενες ποινικές διώξεις και καταδίκες, παραβιάζοντας με τον τρόπο αυτό όχι μόνον το δικαίωμα της ιδιωτικής ζωής, αλλά και το τεκμήριο αθωότητας των υπόπτων/κατηγορουμένων, άλλο ένα αρνητικό φαινόμενο της εποχής μας, το οποίο έχει λάβει επίσης ενδημικές διαστάσεις.
Σύμφωνα με τους ισχύοντες σήμερα ορισμούς του άρθρου 2 περ. β του Ν. 2472/1997 (το οποίο παραμένει σε ισχύ και μετά τον Ν. 4624/2019, δυνάμει του άρθρου 84 του τελευταίου), τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων αποτελούν «ευαίσθητα δεδομένα» (ή δεδομένα ειδικών κατηγοριών, σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων).
Κατά κανόνα η επεξεργασία των παραπάνω δεδομένων απαγορεύεται, ενώ κατ’ εξαίρεση επιτρέπεται για τους λόγους που προβλέπονται στο άρθρο 9 παρ. 2 του Γενικού Κανονισμού Προστασίας Δεδομένων.
Μάλιστα, η αντίθετη με τις παραπάνω νομοθετικές προβλέψεις επεξεργασία ευαίσθητων δεδομένων (ή δεδομένων ειδικών κατηγοριών), πέρα από τις προβλεπόμενες διοικητικές κυρώσεις, αποτελεί και ποινικό αδίκημα (άρθρο 38 του Ν. 4624/2019).
Εξαίρεση από τον παραπάνω κανόνα αποτελεί για παράδειγμα η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα σχετικά με ποινικές διώξεις ή καταδίκες από εισαγγελική αρχή.
Ο εξαιρετικός λόγος της δημοσιοποίησης των παραπάνω ευαίσθητων δεδομένων, καθώς και οι ιδιαίτερα αυστηρές προϋποθέσεις, τις οποίες θέτει ο Νόμος αποδεικνύει τη σημασία που αποδίδει ο νομοθέτης στην προστασία των δεδομένων αυτών.
Πιο συγκεκριμένα η δημοσιοποίηση αυτή είναι επιτρεπτή για ορισμένα μόνον αδικήματα, γίνεται με διάταξη του αρμόδιου Εισαγγελέα, η οποία θα πρέπει να είναι ειδικώς και πλήρως αιτιολογημένη και θα πρέπει να προσδιορίζει τον τρόπο δημοσιοποίησης και το χρονικό διάστημα που θα διαρκέσει.
Η εξαιρετική αυτή περίπτωση δημοσιοποίησης αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσμιακών ομάδων και προς ευχερέστερη πραγμάτωση της αξίωσης της Πολιτείας για τον κολασμό των αδικημάτων.
Μάλιστα, κατά αυτής της εισαγγελικής διάταξης δίνεται η δυνατότητα στον θιγόμενο να αμυνθεί, αφού ο νόμος επιτρέπει στον κατηγορούμενο ή τον κατάδικο την προσφυγή εντός 2 ημερών από τη γνωστοποίηση σε αυτόν της εισαγγελικής διάταξης.
Από τα παραπάνω καθίσταται σαφές ότι ο νομοθέτης επιφύλαξε την παραπάνω δυνατότητα δημοσιοποίησης ευαίσθητων δεδομένων μόνο για τους εισαγγελείς, θέτοντας όμως ακόμα και σε αυτούς ένα ιδιαίτερα αυστηρό πλαίσιο περιορισμών.
Καταληκτικά, το γεγονός ότι πολίτες, δημοσιογράφοι, αλλά ακόμα και βουλευτές παραβιάζουν τον Νόμο είναι σαφώς ανησυχητικό.
Αυτό που προκαλεί όμως τη μεγαλύτερη ανησυχία είναι ότι ολοένα και περισσότερο το δικαίωμα στην ιδιωτική ζωή ανθρώπων, οι οποίοι μάλιστα υπήρξαν προηγουμένως θύματα αξιόποινων πράξεων, θυσιάζεται στον βωμό των likes, της τηλεθέασης και πολιτικών σκοπιμοτήτων.
Οι «εκπτώσεις» στην προστασία της ιδιωτικής ζωής είναι χωρίς αμφιβολία ένα από τα πιο ανησυχητικά φαινόμενα της εποχής μας, το οποίο τείνει να λάβει διαστάσεις πανδημίας.
*Ο Ευάγγελος Φαρμακίδης είναι δικηγόρος, διαπιστευμένος διαμεσολαβητής και μέλος της Homo Digitalis.