Το 2024 έφερε εξελίξεις στην τεχνολογία και τα προσωπικά δεδομένα στην Ελλάδα. Νέες ευρωπαϊκές ρυθμίσεις σχετικά με την Τεχνητή Νοημοσύνη και την Κυβερνοασφάλεια ανέδειξαν την ανάγκη νομοθετικής παρέμβασης ενόψει των τεχνολογικών εξελίξεων. Παράλληλα, έντονη αίσθηση προκάλεσαν πρόστιμα που επιβλήθηκαν από την ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σε υποθέσεις που βρέθηκαν στο κέντρο της επικαιρότητας.
2024: Επιτεύγματα και ορόσημα στη συμμόρφωση με τα προσωπικά δεδομένα στην Ελλάδα
AI ACT – Κανονισμός για την Τεχνητή Νοημοσύνη
Την 1η Αυγούστου του 2024 τέθηκε σε ισχύ ο Κανονισμός 2024/1689 για την Τεχνητή Νοημοσύνη. Ειδικότερα, αποτέλεσε τον πρώτο ολοκληρωμένο κανονισμό για το AI, που έχει υιοθετηθεί από επίσημη ρυθμιστική Αρχή. Μάλιστα, το νέο νομοθετικό πλαίσιο αποσκοπεί στη δημιουργία μίας εναρμοσμένης αγοράς Τεχνητής Νοημοσύνης στην ΕΕ.
Σημαντικό σημείο αποτελεί η απαγόρευση κάθε πρακτικής που απειλεί τα δικαιώματα των πολιτών, όπως είναι η ανάπτυξη εφαρμογών AI που στοχεύουν στη χειραγώγηση της συμπεριφοράς του ανθρώπου, την αξιολόγηση του με βάση τα προσωπικά του χαρακτηριστικά ή την αναγνώριση συναισθημάτων στον χώρο εργασίας και σε εκπαιδευτικά ιδρύματα κ.α.
Τα πρόστιμα καθορίζονται από το ποσοστό του ετήσιου κύκλου εργασιών της εταιρείας ή από συγκεκριμένο ποσό, ανάλογα με το ποιο είναι υψηλότερο και μπορεί να φτάσει έως και τα 35 εκατ. ευρώ ή το 7% του παγκόσμιου ετήσιου κύκλου εργασιών. Αναφορικά με τα επόμενα βήματα, έως τις 2 Αυγούστου 2026 θα έχει τεθεί σε εφαρμογή η πλειονότητα των διατάξεων.
NIS 2 και δημοσίευση του Ν.5160/2024
Στις 28 Νοεμβρίου του 2024 δημοσιεύτηκε ο. Ν. 5160/2024 που ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία 2016/1148 (Οδηγία NIS 2) για την Κυβερνοασφάλεια.
Η νέα νομοθεσία στοχεύει στην ενίσχυση των υπηρεσιών και των υποδομών από κυβερνοεπιθέσεις. Καθορίζονται μέτρα διαχείρισης κινδύνων και υποχρεώσεις συμμόρφωσης αναφορικά με την κυβερνοασφάλεια για οντότητες του δημόσιου και ιδιωτικού τομέα που δραστηριοποιούνται σε συγκεκριμένους κλάδους. Επιχειρήσεις με περισσότερα από 50 άτομα προσωπικό θα πρέπει να προσαρμοστούν στις αυξημένες απαιτήσεις συμμόρφωσης με στόχο την προστασία από κυβερνοεπιθέσεις.
Πρόστιμο 175.000 ευρώ στο Υπουργείο Μετανάστευσης και Ασύλου για τα συστήματα Κένταυρος και Υπερίων
Εντός του 2024 επιβλήθηκε εξαιρετικά υψηλό πρόστιμο σε δημόσιο φορέα από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σύμφωνα με την απόφαση 13/2024 της Αρχής, τα προγράμματα «Κένταυρος» και «Υπερίων» του Υπουργείου Μετανάστευσης και Ασύλου, που χρησιμοποιούνται στα κέντρα υποδοχής πολιτών τρίτων χωρών παραβιάζουν τον ΓΚΠΔ. Τα συγκεκριμένα συστήματα αφορούν τον έλεγχο εισόδου–εξόδου των φιλοξενούμενων στις εγκαταστάσεις με επεξεργασία βιομετρικών δεδομένων και τη χρήση καμερών και αλγορίθμων ανάλυσης συμπεριφοράς για την περιμετρική ασφάλεια των χώρων.
Η συγκεκριμένη απόφαση της ΑΠΔΠΧ έχει μεγάλη σημασία, τόσο για το σκεπτικό που αναπτύχθηκε όσο και για το ύψος του προστίμου. Επιπλέον, η επεξεργασία στην προκειμένη περίπτωση αφορά υποκείμενα των δεδομένων τα οποία, εξ ορισμού, βρίσκονται σε ευάλωτη θέση: δηλαδή αιτούντες άσυλο που αντιμετωπίζουν δυσκολίες στην υπεράσπιση των δικαιωμάτων τους.
Πρόστιμο σε Ευρωβουλευτή και στο Υπουργείο Εσωτερικών για αζήτητη πολιτική επικοινωνία
Αίσθηση προκάλεσε ενόψει των Ευρωεκλογών η υπόθεση διαρροής αρχείου με προσωπικά δεδομένα Ελλήνων του εξωτερικού που περιέχονταν στις εκλογικές λίστες των βουλευτικών εκλογών του 2023. Η Αρχή έλαβε πλήθος καταγγελιών για αζήτητη πολιτική επικοινωνία μέσω emails και κατόπιν έρευνας διαπιστώθηκε η εκλογική λίστα με τα στοιχεία των απόδημων Ελλήνων είχε διαρρεύσει στην Ευρωβουλευτή, η οποία τη χρησιμοποίησε για την προεκλογική της καμπάνια. Η εκλογική λίστα είχε δημιουργηθεί το 2023 από το Υπουργείο Εσωτερικών για εσωτερική χρήση.
Η Αρχή επέβαλε πρόστιμο 400.000 ευρώ στο Υπουργείο για παραβίαση των αρχών της εμπιστευτικότητας της επεξεργασίας των δεδομένων. Στην Ευρωβουλευτή επιβλήθηκε πρόστιμο 40.000 ευρώ για παραβίαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας των δεδομένων. Τέλος, με μεταγενέστερη απόφαση (38/2024) επιβλήθηκε πρόστιμο 40.000 ευρώ και στο κόμμα της Ευρωβουλευτή για λήψη ανεπαρκών μέτρων προστασίας των προσωπικών δεδομένων, καθώς η λίστα διέρευσε από τον πρώην γραμματέα των Απόδημων του κόμματος. Το πρόστιμο που επιβλήθηκε στο Υπουργείο Εσωτερικών αποτελεί το υψηλότερο πρόστιμο που έχει επιβάλει η Αρχή σε δημόσιο φορέα.
Πρόστιμο 150.000 ευρώ στο Υπουργείο Προστασίας του Πολίτη για το νέο τύπο δελτίων ταυτότητας
Μία ενδιαφέρουσα απόφαση εκδόθηκε από την Αρχή αναφορικά με τις νέες ταυτότητες, καθώς τονίζει την ανάγκη των δημοσίων φορέων να τηρούν τις αρχές της διαφάνειας και της ελαχιστοποίησης των δεδομένων. Η Αρχή διαπίστωσε ότι το Υπουργείο δεν παρείχε επαρκή πληροφόρηση στους πολίτες σχετικά με την επεξεργασία των δεδομένων τους. Περαιτέρω, διατυπώθηκαν ανησυχίες σχετικά με δεδομένα που περιέχονται στον ηλεκτρονικό τύπο αποθήκευσης (τσιπ) είναι αναγκαία για την επίτευξη του σκοπού της επεξεργασίας.
Η Αρχή επέβαλε πρόστιμο 150.000 ευρώ στο Υπουργείο Προστασίας του Πολίτη για πλημμελή ενημέρωση των υποκειμένων, καθώς και για παράλειψη διενέργειας εκτίμησης αντικτύπου αναφορικά με τα βιομετρικά δεδομένα που επεξεργάζεται. Παράλληλα, τίθεται 6μηνη προθεσμία συμμόρφωσης σχετικά με την επικαιροποίηση του πλαισίου για τα απαιτούμενα στοιχεία στις ταυτότητες.
Πρόστιμο 56.000 ευρώ σε Ναυτικό Όμιλο για την επεξεργασία βιομετρικών δεδομένων
Ένα από τα τελευταία πρόστιμα που επιβλήθηκε από την Αρχή το 2024, είναι αυτό των 56.000 ευρώ σε Ναυτικό Όμιλο για την επεξεργασία βιομετρικών δεδομένων. Η επεξεργασία βιομετρικών δεδομένων αποτελούσε τον μοναδικό τρόπο εισόδου των μελών στον Όμιλο. Η Αρχή κατόπιν αυτεπάγγελτης έρευνας διαπίστωσε ότι η συγκεκριμένη επεξεργασία έπασχε ως προς την νομιμότητα της, ενώ η ενημέρωση των μελών διαπιστώθηκε πλημμελής. Ακόμη ως αναγκαία κρίθηκε και η διενέργεια εκτίμησης αντικτύπου. Παράλληλα, εντύπωση προκάλεσε το γεγονός ότι παρανόμως ως DPO του Ομίλου είχε οριστεί ο Πρόεδρος του ΔΣ.
Συμπέρασμα
Κάνοντας τον απολογισμό του 2024, σημαντικό highlight αποτελεί η ψήφιση του πρώτου Κανονισμού για την Τεχνητή Νοημοσύνη, του πρώτου επίσημου κειμένου που θέτει νομικά πλαίσια στην τεχνολογία του AI. Φυσικά και σε επίπεδο κυρώσεων, η Αρχή εντός του έτους επέβαλε τα υψηλότερα πρόστιμα που έχουν επιβληθεί σε δημόσιους φορείς. Η Αρχή ανέδειξε την ανάγκη του δημοσίου τομέα να δεσμεύεται στην προστασία των δεδομένων των πολιτών, αν και το ύψος των προστίμων απέχει αισθητά από αυτά που επιβάλλονται στα λοιπά ευρωπαϊκά κράτη – μέλη. Επομένως, το 2024 έφερε εξελίξεις στην τεχνολογία και τα προσωπικά δεδομένα στην Ελλάδα. Από τον Κανονισμό για την Τεχνητή Νοημοσύνη έως τις κυρώσεις-ορόσημα της Αρχής Προστασίας Δεδομένων, η φετινή χρονιά ανέδειξε νέες προκλήσεις και ευκαιρίες.
Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.