ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ ΣΤΗΝ COSMOTE ΜΕ ΔΙΑΡΡΟΗ ΜΕΓΑΛΟΥ ΟΓΚΟΥ ΔΕΔΟΜΕΝΩΝ ΣΥΝΔΡΟΜΗΤΩΝ

  • Το περιστατικό παραβίασης

Η COSMOTE, ίσως η μεγαλύτερη Εταιρεία σταθερής και κινητής τηλεφωνίας στην Ελλάδα, δέχτηκε μεγάλων διαστάσεων κυβερνοεπίθεση το διάστημα 1-5 Σεπτεμβρίου του 2020, με αποτέλεσμα τη διαρροή δεδομένων τηλεφωνικών κλήσεων χιλιάδων χρηστών. Πιο συγκεκριμένα, πρόκειται για μία μη εξουσιοδοτημένη εξαγωγή αρχείου από το σύστημα της Εταιρείας, η οποία έγινε αντιληπτή μετά από έλεγχο στα συστήματα της COSMOTE.

Η Εταιρεία στο δελτίο τύπου που εξέδωσε σχετικά με το συμβάν αναφέρει μεταξύ άλλων ότι:

«Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI , ηλικία, φύλο, ARPU , συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.»

Όπως απαιτείται, η Εταιρεία απέκλεισε άμεσα οποιαδήποτε περαιτέρω πρόσβαση στα συτήματά της και προέβη στη λήψη όλων των απαραίτητων μέτρων για να περιορίσει τον κίνδυνο και να ελαχιστοποιήσει τις επιπτώσεις του περιστατικού αυτού παραβίασης δεδομένων. Ενημέρωσε επίσης τις αρμόδιες Αρχές, όπως άλλωστε προβλέπεται από το εθνικό κι ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Γιατί αποτελεί μείζον ζήτημα παραβίασης δεδομένων; Πόσο πολύ επηρεάζει την κατάσταση το γεγονός ότι δεν υπεκλάπησαν ονοματεπώνυμα συνδρομητών;

Η τεραστίων διαστάσεων αυτή πρόσβαση μη εξουσιοδοτημένων προσώπων σε αρχείο συνδρομητών της Εταιρείας αφορά τον αριθμό τηλεφώνου, την ημέρα και ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, τον τύπο της συσκευής που χρησιμοποιήθηκε, την IMSI, την ηλικία και το φύλο του συνδρομητή, το ARPU, τις συντεταγμένες σταθμού βάσης και το πρόγραμμα κινητής τηλεφωνίας του συνδρομητή.

Ωστόσο, ακόμα κι εάν στις πληροφορίες που υπεκλάπησαν δεν αναγράφεται το ονοματεπώνυμο του κάθε συνδρομητή, όταν οι υπόλοιπες πληροφορίες που αφαιρέθηκαν συνδυαστούν, μπορούν να επιτρέψουν τον έμμεσο προσδιορισμό του συνδρομητή. Πολλές φορές δε η ταυτοποίηση ενός υποκειμένου εξαρτάται από το ποιος μπορεί να έχει πρόσβαση ακόμα και σε ελάχιστα δεδομένα για αυτόν, αλλά και σε οποιεσδήποτε άλλες πληροφορίες μπορούν να συνδυαστούν με αυτά, οι οποίες εκ πρώτης όψεως δεν οδηγούν στην ταυτοποίηση του υποκειμένου.

Επομένως, συχνά δεν είναι άμεσα προφανές εάν ένα υποκείμενο δεδομένων μπορεί να αναγνωριστεί ή όχι. Στην περίπτωση της COSMOTE λοιπόν, όπου κάποιος υπέκλεψε πληροφορίες από τις οποίες είχαν αφαιρεθεί τα ονόματα και τα επώνυμα των συνδρομητών, θα μπορούσε να είναι εξίσου εύκολο για τον μη εξουσιοδοτημένο πλέον κάτοχο των πληροφοριών να ταυτοποιήσει τον συνδρομητή και την τοποθεσία του, συνδυάζοντας τις υπόλοιπες πληροφορίες που συνέλεξε για αυτόν.

Επομένως, το γεγονός ότι υπάρχει ακόμα και η παραμικρή υποθετική πιθανότητα κάποιος να μπορεί να ανακατασκευάσει τα δεδομένα που διαθέτει με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί, αναδεικνύει έντονα την σημαντικότητα του περιστατικού που έλαβε χώρα.

Δεν θα πρέπει να λησμονηθούν τέλος και οι κοινωνικές συνέπειες μίας τέτοιας παραβίασης, τα στοιχεία των συνδρομητών της οποίας θα μπορούσαν είτε να χρησιμοποιηθούν για διαφημιστικούς σκοπούς είτε να πωληθούν στο σκοτεινό διαδίκτυο (dark web) για πολλές χιλιάδες Ευρώ, όπως συνέβη με τα δεδομένα χρηστών της δημοφιλούς πλατφόρμας Zoom . Για τον σκοπό αυτό, οι συχνοί έλεγχοι σωστής λειτουργίας των συστημάτων ενός οργανισμού, η συνεχής εκπαίδευση των εργαζομένων αλλά και η λήψη επίκαιρων και βέλτιστων ανά περίπτωση μέτρων, αποτελεί το κλειδί για την επίτευξη ενός επαρκούς επιπέδου ασφαλείας.

Υψηλό Πρόστιμο στην H&M για παράνομη επέμβαση στην ιδιωτική ζωή των υπαλλήλων της

Η πασίγνωστη σουηδική εταιρεία H&M έλαβε το βαρύ πρόστιμο των 35 εκατομμυρίων ευρώ μετά από μια «κατάφωρη παραβίαση της προστασίας των δεδομένων», σύμφωνα με τις γερμανικές αρχές. Η παράνομη επιτήρηση έγινε σε Κέντρο εξυπηρέτησης στη βαυαρική πόλη της Νυρεμβέργης.

 Η  γερμανική αρχή προστασίας δεδομένων δήλωσε ότι επέβαλε το εν λόγω πρόστιμο στην αλυσίδα ενδυμάτων H & M  για την παράνομη επιτήρηση των εργαζομένων, καθώς έκρινε ότι η σουηδική εταιρεία επενέβη  βαθιά στην ιδιωτική ζωή των μελών του προσωπικού της.

Το ποσό αυτό αποτελεί την υψηλότερη χρηματική ποινή για τέτοιου ειδους παραβίαση στη Γερμανία από τότε που τέθηκε σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) και τη δεύτερη υψηλότερη του είδους της σε ολόκληρη την ήπειρο, μετά το πρόστιμο ύψους €50 εκατομμυρίων που επέβαλαν  οι γαλλικές ρυθμιστικές αρχές πέρυσι πάλι για παραβίαση του GDPR.

Η Γερμανία, μετά από μια ιστορία εκτεταμένης κατάχρησης επιτήρησης στη Ναζιστική Γερμανία και την πρώην Ανατολική Γερμανία, πλέον  είναι γνωστή για την αυστηρή εφαρμογή  του δικαιώματος των πολιτών στην ιδιωτική τους ζωή.

Η επέμβαση στην ιδιωτικότητα των υπαλλήλων από την H & M στόχευσε αρκετές εκατοντάδες εργαζόμενους σε Κέντρο εξυπηρέτησης στη Νυρεμβέργη, σύμφωνα με δήλωση του Johannes Caspar, Επιτρόπου του Αμβούργου για την προστασία των δεδομένων και την ελευθερία της πληροφόρησης.

Η H & M ακολουθούσε την παράνομη πρακτική τουλάχιστον από το 2014, καθώς η διοίκηση της εταιρείας προέβαινε σε «εκτεταμένες καταγραφές των συνθηκών ιδιωτικής ζωής των εργαζομένων», όπως ανέφερε η υπηρεσία προστασίας δεδομένων.

Πο συγκεκριμένα, ορισμένοι προϊστάμενοι απέκτησαν ευρεία γνώση της ιδιωτικής ζωής των υπαλλήλων τους μέσω συνομιλιών one-on-one  στις οποίες οι υπάλληλοι αναγκάζονταν να αποκαλύψουν από μάλλον αβλαβείς λεπτομέρειες για την ιδιωτική τους ζωή μέχρι οικογενειακά προβλήματα και θρησκευτικές τους πεποιθήσεις.

Τα μέλη του προσωπικού καλούνταν σε «συνομιλίες καλωσορίσματος» μετά από περιόδους αναρρωτικής άδειας ή διακοπών, και οι πληροφορίες αυτές  καταγράφονταν  και αποθηκεύονταν  ψηφιακά  ούτως  ώστε να μπορούν να ενημερωθούν για αυτές  έως και 50 άλλοι διευθυντές σε όλη την εταιρεία!

Ο Caspar δήλωσε ότι η πρακτική της εταιρείας αποτελούσε μια «κατάφωρη παραβίαση της προστασίας των δεδομένων των εργαζομένων», προσθέτοντας ότι ελπίζει ότι η βαριά αυτή οικονομική ποινή θα αποτρέψει άλλες επιχειρήσεις από το να πράξουν αντίστοιχα.

Η H & M έχει δύο εβδομάδες για να εναντιωθεί στην ποινή, ωστόσο δήλωσε ότι το περιστατικό αυτό  αποκάλυψε πρακτικές για την επεξεργασία προσωπικών δεδομένων των εργαζομένων που δεν ήταν σύμφωνες με τις οδηγίες και τις πολιτικές της εταιρείας.

Η σουηδική εταιρεία πρόσθεσε ότι  αναλαμβάνει την πλήρη ευθύνη και επιθυμεί να αποζημιώσει  τους υπαλλήλους του κέντρου εξυπηρέτησης στη Νυρεμβέργη.

Επιπρόσθετα  δήλωσε ότι έχει ήδη προβεί σε διαχειριστικές αλλαγές  όπως για παράδειγμα σε μία πρόσθετη εκπαίδευση για τους προϊσταμένους σε σχέση με την ιδιωτικότητα των δεδομένων και το εργατικό δίκαιο.

Ο  Caspar επαίνεσε την H & M για τις προσπάθειές της να αντισταθμίσει τους πληγέντες και να αποκαταστήσει την εμπιστοσύνη στην εταιρεία δηλώνοντας ότι «Οι διαφανείς πληροφορίες που παρέχονται από τους υπέυθυνους και η εγγύηση της οικονομικής αποζημίωσης δείχνουν σίγουρα την πρόθεση να δοθεί  στους εργαζόμενους ο σεβασμός και η εκτίμηση που αξίζουν ως εργαζόμενοι με καθεστώς εξαρτημένης εργασίας στην καθημερινότητα τους μέσα στην εταιρεία».

ΛΙΣΤΕΣ ΕΠΑΦΩΝ COVID-19: ΠΩΣ ΝΑ ΤΙΣ ΔΙΑΧΕΙΡΙΣΤΕΙΤΕ ΜΕ ΑΣΦΑΛΕΙΑ

Καθώς διανύουμε μία περίοδο πρωτοφανούς κρίσης εντός του 2020, όλες οι χώρες έχουν αναγκαστεί να υιοθετήσουν μία σειρά μέτρων προστασίας και πρόληψης από τον ιό COVID-19, με στόχο την όσο το δυνατόν αποτελεσματικότερη μείωση των κρουσμάτων σε καθημερινή βάση. Μεταξύ των μέτρων που έχουν προταθεί από τις κυβερνητικές αρχές, είναι και αυτή της υποχρεωτικής καταγραφής προσωπικών δεδομένων πελατών σε αρχείο, ούτως ώστε να είναι δυνατή μία ενδεχόμενη ιχνηλάτηση κρούσματος του ιού.

Πρόκειται πιο συγκεκριμένα για καταγραφή του ονοματεπωνύμου και των στοιχείων επικοινωνίας (τηλέφωνο επικοινωνίας ή διεύθυνση ηλεκτρονικού ταχυδρομείου) του υποκειμένου των δεδομένων, όπως για παράδειγμα του πελάτη μίας επιχείρησης ή του επισκέπτη μίας δημόσιας υπηρεσίας. Αυτά τα αρχεία προτείνεται να τηρούνται για χρονικό διάστημα ενός μήνα, με σκοπό την παρακολούθηση των στενών επαφών του ασθενούς από τις υγειονομικές αρχές σε περίπτωση που ο τελευταίος ασθενήσει από τον ιό.

Για να κρατήσει κάθε οργανισμός και επιχείρηση τα δεδομένα αυτά ασφαλή, χρειάζεται να έχει λάβει προηγουμένως συγκεκριμένα μέτρα προστασίας. Έτσι, τα παρακάτω βήματα μπορούν να βοηθήσουν κάθε επιχείρηση και οργανισμό να συμμορφωθεί με τα νέα μέτρα, τηρώντας παράλληλα τις απαιτήσεις ασφαλείας που επιβάλει το εθνικό και ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Ελαχιστοποιήστε τον όγκο των δεδομένων που συλλέγετε

Συλλέξτε μόνο τις λεπτομέρειες που πρέπει να παρέχετε στις υγειονομικές αρχές για τον εντοπισμό των επαφών του ασθενούς, όπως για παράδειγμα το όνομα και το τηλέφωνο επικοινωνίας του, την ώρα και την ημερομηνία επαφής του με τον οργανισμό σας. Λάβετε υπόψη σας ότι δεν απαιτείται να ζητήσετε από τους πελάτες ή τους επισκέπτες σας να επαληθεύσουν την ταυτότητά τους.

  • Να είστε απολύτως σαφείς με τους πελάτες σας σχετικά με το «γιατί» συλλέγετε τα δεδομένα τους

Όλο το προσωπικό της επιχείρησης ή του οργανισμού πρέπει να είναι σε θέση να εξηγήσει με σαφήνεια τον σκοπό αυτής της συλλογής, σε κάθε σημείο της αλληλεπίδρασής σας μαζί τους. Εάν για παράδειγμα χρησιμοποιείτε κάποιο ηλεκτρονικό σύστημα κρατήσεων, θα μπορούσατε να προβάλετε σχετικές πληροφορίες πριν την πραγματοποίηση της κράτησης, ενημερώνοντάς τους ότι ορισμένα από τα στοιχεία τους θα διατηρηθούν με σκοπό την ενδεχόμενη ιχνηλάτηση των επαφών τους.

  • Αποθηκεύστε αυτές τις πληροφορίες με προσοχή

Δεν χρειάζεται απαραίτητα να χρησιμοποιείτε εξαιρετικά προηγμένη τεχνολογία για την αποθήκευσή τους. Ωστόσο, εάν αποφασίσετε να τις αποθηκεύσετε ηλεκτρονικά, βεβαιωθείτε ότι έχετε προβεί σε ασφαλή αποθήκευσή τους, με περιορισμένη πρόσβαση μέσω κωδικών ασφαλείας από συγκεκριμένο προσωπικό του οργανισμού.

Προσοχή! Οι λίστες με τα στοιχεία των πελατών σας δεν θα πρέπει να είναι ορατές στους υπόλοιπους πελάτες σας, με στόχο την αποφυγή οποιασδήποτε ενδεχόμενης παραβίασης προσωπικών δεδομένων.

  • Περιορίστε τα δεδομένα μόνο στον σκοπό για τον οποίο συλλέχθηκαν αρχικά

Μην χρησιμοποιείτε αυτά τα δεδομένα για σκοπούς άμεσου μάρκετινγκ ή για να δημιουργήσετε νέες σχέσεις με πελάτες για οποιονδήποτε λόγο. Επίσης, μην αποκαλύπτετε αυτά τα δεδομένα σε τρίτους, με εξαίρεση τις αρμόδιες υγειονομικές αρχές που θα τα αιτηθούν για σκοπούς ανίχνευσης των επαφών τους.

  • Βεβαιωθείτε ότι διαγράφετε τις πληροφορίες αυτές σε τακτά χρονικά διαστήματα, εφόσον έχει περάσει το νόμιμο υποχρεωτικό διάστημα τήρησής τους.

Η τρέχουσα περίοδος διατήρησης των πληροφοριών αυτών είναι ένας μήνας. Προγραμματίστε την τακτική τους διαγραφή και την καταστροφή τους. Βεβαιωθείτε επίσης ότι τα δεδομένα αυτά απορρίπτονται με ασφάλεια και τεμαχίστε τυχόν φυσικά αρχεία -εφόσον έχετε επιλέξει αυτόν τον τρόπο αποθήκευσής τους. Θυμηθείτε τέλος να τα διαγράψετε τόσο από τον κάδο ανακύκλωσης του υπολογιστή σας όσο και από τυχόν αρχεία cloud τηρείτε ως αντίγραφα ασφαλείας ηλεκτρονικά.

Πηγή: Data Protection Commission

ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΩΝ ΕΡΓΟΔΟΤΩΝ ΜΕ ΒΑΣΗ ΤΟΝ GDPR ΣΧΕΤΙΚΑ ΜΕ ΤΑ ΕΜΑΙL TΩΝ ΥΠΑΛΛΗΛΩΝ ΤΟΥΣ

Στον εργασιακό τομέα τίθεται συχνά το ερώτημα κατά πόσο νομιμοποιούνται οι εργοδότες να επεξεργάζονται τα προσωπικά δεδομένα των υπαλλήλων τους όπως π.χ. τα εταιρικά emails τους χωρίς να παραβιάζουν τον GDPR ή γενικότερα τη νομοθεσία που προστατεύει την ιδιωτικότητα τους.

Η εταιρική ηλεκτρονική αλληλογραφία αναπόφευκτα περιλαμβάνει προσωπικά δεδομένα των εργαζόμενων. Σε περίπτωση που ο υπάλληλος  μίας εταιρείας θελήσει να ασκήσει το δικαίωμα πρόσβασης (right of access) του GDPR είναι αμφίβολο κατά πόσο ο εργοδότης θα μπορεί να ικανοποιήσει το αίτημα εντός 30 ημερών όπως ορίζει η νομοθεσία,  και παράλληλα να φροντίσει να χορηγήσει αντίγραφα της αλληλογραφίας, η οποία ενδεχομένως θα περιλαμβάνει προσωπικά δεδομένα τρίτων προσώπων, εμπιστευτικές πληροφορίες και εταιρικά μυστικά και τα οποία έχει επίσης υποχρέωση να προστατεύσει.

Σε πρόσφατη υπόθεση της Δανίας, πρώην υπάλληλος υπέβαλλε αίτημα πρόσβασης στα προσωπικά του δεδομένα. Η Αρχή Προστασίας Δεδομένων της Δανίας έκρινε ότι το αίτημα ήταν υπερβολικά εκτεταμένο και ότι οι προσωπικές πληροφορίες, για παράδειγμα, τα μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με την εργασία, αφορούν πρωτίστως την εργασιακή  λειτουργία ενός υπαλλήλου στη θέση όπου έχει τοποθετηθεί από τον εργοδότη του. Δικαίωσε επομένως τον εργοδότη που αρνήθηκε να ικανοποιήσει το αίτημα, ωστόσο, τόνισε ότι οι εργοδότες δεν μπορούν γενικά να αρνούνται να εξετάσουν το αίτημα και να αγνοήσουν τελείως τα μηνύματα ηλεκτρονικού ταχυδρομείου εργασίας, καθώς μπορεί να υπάρχουν περιπτώσεις όπου γνωρίζουν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου εργασίας περιέχουν προσωπικά δεδομένα διαφορετικά από αυτά που είναι απολύτως απαραίτητα για την εκτέλεση του ρόλου (π.χ. εάν εκφράζεται καθαρά προσωπική γνώμη, σε αντίθεση με μια επαγγελματική αξιολόγηση).

Η ελληνική νομολογία δεν διαφέρει δηλαδή από αυτή της Δανίας. Κρίνει ότι, ενώ οι εργαζόμενοι έχουν μια εύλογη προσδοκία προστασίας της ιδιωτικής ζωής τους στον τόπο εργασίας, η οποία δεν αίρεται από το γεγονός ότι χρησιμοποιούν εξοπλισμό, συσκευές επικοινωνιών ή οποιεσδήποτε άλλες επαγγελματικές εγκαταστάσεις και υποδομές του εργοδότη (π.χ. δίκτυο ηλεκτρονικών επικοινωνιών, Wi-Fi, εταιρικές ηλεκτρονικές διευθύνσεις αλληλογραφίας κ.λπ.), ο εργοδότης -ασκώντας το διευθυντικό του δικαίωμα για την προστασία της περιουσίας και της εύρυθμης λειτουργίας της επιχείρησης- δικαιούται να ασκεί έλεγχο επί των ηλεκτρονικών μέσων επικοινωνίας που παρέχει στους εργαζόμενους για την εργασία τους. Αυτός ο έλεγχος μπορεί να διενεργείται μόνο εφόσον η συναφής επεξεργασία είναι αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο εργοδότης και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του εργαζομένου, χωρίς να θίγονται οι θεμελιώδεις ελευθερίες αυτού κατ’ άρθ. 6 παρ. 1 εδ. στ’ GDPR, τηρουμένης πάντοτε της αρχής της αναλογικότητας.

Με βάση όμως τη νομολογία, απαραίτητη προϋπόθεση είναι να έχει ενημερωθεί ο εργαζόμενος έστω και για τη δυνατότητα ελέγχου (βλ. αναλυτικά ΑΠΔΠΧ 34/2018). Η ίδια νομική βάση και προσέγγιση υιοθετείται και από την νομολογία του ΕΔΔΑ (βλ. απόφαση Barbulescu v. Romania της 05-9-2017).

Πόσο μπορεί ο εργοδότης να έχει τον απόλυτο έλεγχο των δεδομένων της ηλεκτρονικής αλληλογραφίας αλλά και πόσο ο εργαζόμενος θα δικαιούται επικαλούμενος τον GDPR να κάνει κατάχρηση του χρόνου και της εύρυθμης λειτουργίας μίας επιχείρησης;

Ο GDPR από μόνος του δεν δίνει σαφή απάντηση εφόσον παρέχει δικαιώματα και στις δύο κατηγορίες των υποκειμένων για την επεξεργασία προσωπικών δεδομένων. Από τη μία δίνει τη δυνατότητα στους εργαζόμενους να ασκήσουν το δικαιωμα πρόσβασης και από την άλλη οι εργοδότες δικαιούνται να αρνηθούν να το ικανοποιήσουν!

Θα εξαρτηθεί επομένως από τον τρόπο που κάθε επιχείρηση, φορέας ή οργανισμός έχει ορίσει τις εσωτερικές του πολιτικές και διαδικασίες και φυσικά πώς έχει ενημερώσει τα φυσικά πρόσωπα σχετικά με την επεξεργασία των προσωπικών τους δεδομένων.

Τα βασικά βήματα επομένως για την αντιμετώπιση αυτής της σύγκρουσης συμφερόντων που ανακύπτει στον εργασιακό χώρο είναι τα εξής:

  1. Εφαρμογή της αρχή της διαφάνειας από τους εργοδότες: Οι υπάλληλοι θα πρέπει να γνωρίζουν (μέσω της αντίστοιχης πολιτικής απορρήτου) ότι η εταιρεία θα διατηρήσει την πρόσβαση στα εισερχόμενά τους μόλις φύγουν. Η επιλογή της νομικής βάσης επεξεργασίας θα ορίζεται ρητά.
  2. Αντίστοιχα, η νόμιμη βάση, ο σκοπός της επεξεργασίας και η περίοδος διατήρησης ηλεκτρονικού ταχυδρομείου θα είναι καταγεγραμμένα στο αρχείο δραστηριοτήτων επεξεργασίας που υποχρεωτικά θα τηρεί ο εργοδότης.
  3. Η επιλογή της νομικής βάσης της συγκατάθεσης θα πρέπει να αποφεύγεται εφόσον στις περισσότερες περιπτώσεις δεν μπορεί να θεωρηθεί ότι δίνεται ελεύθερα.
  4. Προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με τους υπαλλήλους,  όπως π.χ. μηνύματα σχετικά με την απουσία ασθένειας που απευθύνονται αποκλειστικά στο τμήμα προσωπικού, θα πρέπει να φυλάσσονται σε ξεχωριστό φάκελο, ο οποίος και θα ακολουθεί ξεχωριστό χρόνο διατήρησης σε σχέση με τα λοιπά εταιρικά ηλεκτρονικά μηνυμάτα. Αυτό θα διευκόλυνε και τη διαγραφή τέτοιων μηνυμάτων ηλεκτρονικού ταχυδρομείου, καθώς και την απάντηση σε ένα αίτημα πρόσβασης του υποκειμένου των δεδομένων.

Το νομικό πλαίσιο του GDPR δεν εφαρμόζεται για να εμποδίσει τη λειτουργία των επιχειρήσεων και των οργανισμών. Όταν εφαρμόζεται σωστά, είναι εκεί για να σταματήσει ανεπιθύμητες συμπεριφορές και να αυξήσει την εμπιστοσύνη ανάμεσα στους εργοδότες, τους υπαλλήλους τους, τους προμηθευτές και τους πελάτες τους.

ΕΝΤΑΤΙΚΟΙ ΕΛΕΓΧΟΙ ΑΠΟ ΤΙΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Μία επισκόπηση του 2020 και μία πρόβλεψη για το μέλλον.

Έχουν περάσει πάνω από δύο χρόνια από την εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 “GDPR”, γεγονός που σίγουρα έχει αλλάξει πολλά, τόσο στις καθημερινές δραστηριότητες των οργανισμών, όσο και στην κουλτούρα των ανθρώπων που εργάζονται σε αυτούς. Καίριο ρόλο στη διαμόρφωση και υιοθέτηση αυτής της στάσης φυσικά έχουν παίξει οι σημαντικές προσπάθειες και κατευθυντήριες γραμμές των Εποπτικών Αρχών της κάθε Ευρωπαϊκής χώρας, παράλληλα με τα υπέρογκα πρόστιμα που έχουν κατά καιρούς επιβληθεί από αυτές.

«Οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες»

Ορμώμενη από την πραγματικότητα αυτή, μια ομάδα χρηματοοικονομικών αναλυτών από τη Finbold μελέτησε τα πρόστιμα και τις κυρώσεις που έχουν επιβληθεί, μέσω της διαδεδομένης πλέον βάσης δεδομένων “GDPR Enforcement Tracker”. Η μελέτη, η οποία κάλυψε την περίοδο μεταξύ 1ης Ιανουαρίου και 17 Αυγούστου 2020, έδειξε ότι οι ευρωπαϊκοί οργανισμοί πρέπει να επενδύσουν άμεσα στη ανάπτυξη στρατηγικής για τα προσωπικά δεδομένα των φυσικών προσώπων, ιδιαίτερα κατά την εποχή του κορωνοϊού, όταν ο κόσμος, κάνοντας μία τεράστια αλλαγή, στρέφεται στις ψηφιακές πλατφόρμες.

Σύμφωνα με την έρευνα αυτή, διαπιστώθηκε ότι τα κράτη μέλη της ΕΕ και οι χώρες του ΕΟΧ έχουν λάβει συνολικά πρόστιμα ύψους 60,1 εκατ. Ευρώ για παραβιάσεις του GDPR μόνο μέσα στο 2020. Ο πιο συχνός λόγος πίσω από τις παραβιάσεις των δεδομένων; Η ελλιπής ή ανεπαρκής νομική βάση για την επεξεργασία αυτών των δεδομένων, όπως ήταν φυσικό.  

Αν θέλουμε να γίνουμε πιο σαφείς σχετικά με τον τοπικό καταμερισμό των προστίμων αυτών, από την έρευνα φαίνεται ότι η Ισπανία βρίσκεται στην πρώτη θέση, με 76 παραβιάσεις μέσα στο 2020, έχοντας λάβει τον υψηλότερο αριθμό συνολικών προστίμων σε ολόκληρη την ΕΕ/ΕΟΧ. Η τελευταία υπόθεση παραβίασης δεδομένων μάλιστα σχετίζεται με το Σοσιαλιστικό Κόμμα της Καταλονίας, το οποίο χρησιμοποίησε τα προσωπικά δεδομένα που του παρείχε ένας επαγγελματίας γιατρός για πολιτικούς σκοπούς. Το πρόστιμο ανήλθε στα 5.000 Ευρώ.

Η Ελλάδα βρίσκεται στην 13η θέση αυτής της λίστας, καθώς η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) έχει επιβάλει συνολικά 4 πρόστιμα, τα οποία όμως ανέρχονται συνολικά στο ποσό των 33.000 Ευρώ.

Αναφορικά με το συνολικό ύψος των προστίμων, στους πρωτοπόρους βρίσκεται μία άλλη μεσογειακή χώρα, η Ιταλία, έχοντας επιβάλει πρόστιμα που ανέρχονται στα 45,6 εκατομμύρια ευρώ στο σύνολό τους. Η εταιρεία τηλεπικοινωνιών “TIM” αποτέλεσε τον χειρότερο παραβάτη του GDPR, αφού για πολλαπλές παραβιάσεις διατάχθηκε να πληρώσει 27 εκατομμύρια Ευρώ.

Η Κύπρος από την άλλη φαίνεται να έχει λάβει σοβαρά υπόψη τον GDPR, αφού μέσα στο 2020 έχουν επιβληθεί μόλις 2 πρόστιμα ύψους 10.000 Ευρώ. Ωστόσο, όπως αναφέρει στην επίσημη ανακοίνωσή της η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου, πρόκειται να ξεκινήσει τη διενέργεια μαζικών ελέγχων σε ιδιωτικές επιχειρήσεις ανά τομέα δραστηριότητας. «Κύριος σκοπός των ελέγχων αυτών, είναι η αξιολόγηση του επιπέδου συμμόρφωσης των επιχειρήσεων αυτών με τον GDPR, ενώ επιμέρους σκοπούς αποτελούν η αξιολόγηση των πρακτικών που υιοθετούνται και η καταγραφή των διαδικασιών που εφαρμόζονται».

Οι έλεγχοι αυτοί θα εντάσσονται στο γενικότερο πλαίσιο ελέγχου συμμόρφωσης ορισμένων κλάδων του ιδιωτικού τομέα με τον GDPR, ενώ θα αφορούν μικρομεσαίες επιχειρήσεις στην Κύπρο, οι οποίες καταλαμβάνουν ένα σημαντικό ποσοστό της οικονομικής δραστηριότητας του τόπου.

Είναι έτσι περισσότερο από φανερό ότι προτεραιότητα της Ευρωπαϊκής Ένωσης αποτελεί ο σχηματισμός μίας κατάλληλης για την ψηφιακή εποχή Ευρώπης. Για την επίτευξη του σκοπού αυτού όλες οι αρχές προστασίας δεδομένων παραμένουν σε εγρήγορση και είναι σίγουρο ότι πρόκειται να διεξάγουν συνεχώς ελέγχους συμμόρφωσης, ούτως ώστε τα προσωπικά δεδομένα των φυσικών προσώπων να παραμένουν ασφαλή και διασφαλισμένα από παραβιάσεις στην σύγχρονη και συνεχώς εξελισσόμενη τεχνολογικά εποχή.

ΕΘΙΣΜΟΣ ΣΤΗΝ ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΤΟΥ TIKTOK

Η μακρά περίοδος της καραντίνας λόγω της έξαρσης της πανδημίας του κορωνοϊού οδήγησε εκατομμύρια χρήστες να κατεβάσουν στις έξυπνες συσκευές τους τη διαδεδομένη πλέον κινεζική εφαρμογή “TikTok”, με σκοπό να “γεμίζουν” τις ώρες που έμεναν σπίτι. Έτσι, αμέτρητα δημιουργικά και ευφάνταστα βίντεο αναρτήθηκαν στην εφαρμογή, με σκοπό μεταξύ άλλων την διασκέδαση, αλλά και την απόκτηση φήμης και αναγνωρισιμότητας.

Τα βίντεο αυτά όμως κρύβουν σίγουρα περισσότερα ζητήματα ιδιωτικότητας από όσα μπορεί εκ πρώτης όψεως κάποιος να διακρίνει. Όπως σχεδόν όλες οι τεχνολογικές πλατφόρμες, το TikTok αποθηκεύει όχι μόνο το περιεχόμενο που δημιουργούν οι χρήστες σε αυτό, αλλά και σημαντικά μεταδεδομένα αυτών. Αυτό μπορεί να σημαίνει ονόματα χρήστη, πώς και πότε οι χρήστες εγγράφηκαν στην υπηρεσία, αριθμούς τηλεφώνου, τύπους συσκευών αλλά και σημαντικά δεδομένα τοποθεσίας.

Το γεγονός της εκτεταμένης αυτής συλλογής δεδομένων χρηστών, σε συνδυασμό με τη γενικότερη κόντρα των Η.Π.Α. με την Κίνα, ενδέχεται να οδηγήσει σε πιθανή απαγόρευση της εφαρμογής στις Η.Π.Α.

Η ίδια η εταιρεία έχει απαντήσει στις ανησυχίες των Η.Π.Α. για τη συλλογή δεδομένων Αμερικανών πολιτών, διευκρινίζοντας ότι τα δεδομένα των Αμερικανών χρηστών αποθηκεύονται σε servers στις Η.Π.Α. και τη Σιγκαπούρη και όχι στην Κίνα. Ωστόσο, στην πολιτική προστασίας δεδομένων και στους όρους χρήσης της εφαρμογής, αναφέρεται ότι η εφαρμογή TikTok ενδέχεται να μοιραστεί πληροφορίες με τη μητρική της εταιρεία ή και άλλες συνδεόμενες εταιρείες.

Οι απειλές για μία ενδεχόμενη απαγόρευση της εφαρμογής –κάτι που σύμφωνα με ορισμένες αρχές των ΗΠΑ μπορεί να οδηγήσει σε διαβίβαση δεδομένων χρηστών με την κινεζική κυβέρνηση– σόκαραν την κοινότητα του TikTok, με πολλούς δημιουργούς περιεχομένου να σπεύδουν να ξεκινήσουν ζωντανές ροές για να κατευθύνουν τους ακόλουθους σε εναλλακτικές εφαρμογές.

Ωστόσο, οι αντιδράσεις των χρηστών σε αυτή την απαγόρευση ίσως δεν ήταν οι αναμενόμενες.

«Δεν με νοιάζει πραγματικά εάν αυτές οι εταιρείες έχουν τα δεδομένα μου, αρκεί να ξέρω ότι τα έχουν» σχολιάζει ένας χρήστης.

Κάποιος άλλος χρήστης αστειευόμενος αναρωτιέται «Είμαι ο μόνος που δεν με νοιάζει αν η Κίνα συλλέγει τα δεδομένα μου; Ας έχει τα δεδομένα μου. Με ξέρουν καλύτερα απ’ ότι ξέρω τον ίδιο μου τον εαυτό».

Η συζήτηση για το μέλλον της TikTok φαίνεται να καταδεικνύει πλέον ξεκάθαρα το γενικότερο χάσμα που υφίσταται μεταξύ της μεγάλης προσπάθειας των τελευταίων ετών για νομοθετική προστασία των δεδομένων που διαμοιράζονται μέσω εφαρμογών και διαδικτύου (όπως ο GDPR, η CCPA κ.α.) και των ανθρώπων που χρησιμοποιούν τις εφαρμογές αυτές. Ιδιαίτερα για τους νεότερους ανθρώπους (την λεγόμενη γενιά “Generation Z”), οι οποίοι έχουν μεγαλώσει με εφαρμογές όπως το Facebook, το Snapchat και το Instagram, η συλλογή των προσωπικών τους δεδομένων θεωρείται κάτι παραπάνω από δεδομένη. «Αυτή τη στιγμή, είμαι τόσο συνηθισμένος ότι όλα τα κοινωνικά δίκτυα έχουν όλα μου τα δεδομένα, που πλέον αισθάνομαι ότι είναι ακριβώς αυτό το τίμημα που πρέπει να πληρώσω για να συνδεθώ με άλλους», αναφέρει χαρακτηριστικά ένας χρήστης του TikTok.

Και αυτό είναι το τρομακτικό ζήτημα της υπόθεσης TikTok. Είναι πράγματι οι χρήστες τόσο εθισμένοι στην χρήση της εφαρμογής, που όχι μόνο παραδίδουν «απλόχερα» τα δεδομένα τους, αλλά αδιαφορούν πλήρως και για το γεγονός ότι αυτό οδηγεί στην συστηματική τους παρακολούθηση;

«Εάν δώσατε στους περισσότερους νέους μια επιλογή μεταξύ της προστασίας της ιδιωτικής ζωής τους με το να αποσυρθούν από τα μέσα κοινωνικής δικτύωσης ή να παραμείνουν σε αυτά, είναι σίγουρο ότι θα παραμείνουν», σχολιάζει ο Josh Golin, εκτελεστικός διευθυντής της μη κερδοσκοπικής  Εταιρείας “Campaign for a Commercial Free Childhood”.

Είναι φανερό τελικά ότι όσο αναπτύσσεται η τεχνολογία και δημιουργούνται νέες, «σύγχρονες ανάγκες», τόσο περισσότερα δεδομένα θα συλλέγονται και θα αποθηκεύονται, με σκοπό την παρακολούθηση των ανθρώπων, την κατάρτιση προφίλ και εν τέλει την δημιουργία εκστρατειών στοχευμένου μάρκετινγκ. Πολλές είναι οι χώρες που προσπαθούν τα τελευταία χρόνια να περιορίσουν το φαινόμενο αυτό, ή τουλάχιστον να θέσουν όρια στον τρόπο συλλογής των δεδομένων, αλλά και μέτρα προστασίας της ιδιωτικότητας των ατόμων που παρακολουθούνται. Στην Ελλάδα, το ίδιο το Σύνταγμα κατοχυρώνει την προστασία των προσωπικών μας δεδομένων (άρθρο 9Α), ενώ ο GDPR έχει θέσει γερά θεμέλια ώστε η επεξεργασία των δεδομένων να πραγματοποιείται με περισσότερες εγγυήσεις ασφαλείας.

Όμως, όταν τα ίδια τα υποκείμενα των δεδομένων είναι αυτά που αδιαφορούν για την προστασία τους, θέτοντας την αναγνωρισιμότητά τους πάνω από την ιδιωτικότητά τους, είναι σίγουρο ότι ο δρόμος για την θεσμοθέτηση και εδραίωση ενός ασφαλούς νομοθετικού πλαισίου προστασίας, είναι ακόμα μακρύς.

SCHREMS II: Η ΑΠΟΛΥΤΗ ΑΒΕΒΑΙΟΤΗΤΑ ΓΙΑ ΤΟ ΜΕΛΛΟΝ ΤΩΝ ΔΙΕΘΝΩΝ ΔΙΑΒΙΒΑΣΕΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Μία από τις σημαντικότερες εξελίξεις στο χώρο προστασίας προσωπικών δεδομένων αποτελεί η απόφαση του Ανώτατου δικαστηρίου της Ευρωπαϊκής Ένωσης που εκδόθηκε στις 16 Ιουλίου και που κηρύσσει ανίσχυρη την απόφαση 2016/1250 σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής Ευρωπαϊκής Ένωσης-Ηνωμένων Πολιτειών (Privacy Shield).

H πολυσυζητημένη απόφαση παρέχει στην ΕΕ ακόμη λιγότερα περιθώρια ελιγμών για τη μεταφορά προσωπικών δεδομένων.  

To Ανώτατο Ευρωπαϊκό Δικαστήριο όπως και με την απόφαση του “Schrems I” για το Safe Ηarbor το 2015  επικαλείται έλλειψη εφαρμογής της αρχής αναλογικότητας και ατομικής έννομης προστασίας.

Με την απόφαση του το Δικαστήριο επέτρεψε την ισχύ των τυπικών συμβατικών ρητρών ωστόσο κάθε Υπεύθυνος Eπεξεργασίας εγκατεστημένος στην Ευρωπαϊκή Ένωση  θα πρέπει να προβαίνει σε εκτίμηση ανά περίπτωση για το επίπεδο προστασίας που παρέχουν οι συμβατικές αυτές  ρήτρες   όπως επίσης και σε εκτίμηση για την  προστασία «όσον αφορά την οποιαδήποτε  πρόσβαση των δημοσίων αρχών αυτής της τρίτης χώρας στα προσωπικά δεδομένα που μεταφέρονται (και) τις σχετικές πτυχές του νομικού συστήματος αυτής της τρίτης χώρας».

Αυτές οι εκτιμήσεις από εταιρεία σε εταιρεία πρέπει να επιβλέπονται από τις αρχές προστασίας δεδομένων: «η εποπτική αρχή οφείλει ωστόσο να εκτελέσει την ευθύνη της για τη διασφάλιση της πλήρους επιβολής του GDPR με κάθε δέουσα επιμέλεια». Εάν οι εποπτικές αρχές διαφωνούν σχετικά με τις διαβιβάσεις, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων καλείται να επιλύσει τις διαφορές. Σε περίπτωση τέτοιων διαφορών, θα ήταν σημαντικό το Ευρωπαϊκό Συμβούλιο Προστασίας Προσωπικών δεδομένων να έχει πρόσβαση στις καλύτερες δυνατές πληροφορίες σχετικά με τον τρόπο αξιολόγησης της εθνικής ασφάλειας και άλλων νόμων σχετικά με την πρόσβαση της κυβέρνησης σε δεδομένα σε χώρες εκτός της ΕΕ.

Οι βασικές ελλείψεις προστασίας που εντόπισε το Ανώτατο διακστήριο αφορούσαν δυο πτυχές της αμερικάνικης νομοθεσίας. Η πρώτη, σύμφωνα με το δικαστήριο, είναι η έλλειψη ατομικής έννομης προστασίας – πολίτης της ΕΕ όπως ο Max Schrems δεν έχει πρόσβαση στα δικαστήρια των ΗΠΑ για να ελέγξει το τρόπο που η Υπηρεσία Εθνικής Ασφάλειας χειρίζεται τα δεδομένα του. Η δεύτερη έλλειψη αναφέρεται στην μη εφαρμογή της αρχής της αναλογικότητας στις δραστηριότητες συλλογής πληροφοριών των ΗΠΑ, ουσιαστικά η ανησυχία ότι οι ΗΠΑ κάνουν ευρύτερες συλλογές δεδομένων και με λιγότερο σαφή νομικά κριτήρια, από ό, τι το Δικαστήριο θεωρεί επιτρεπτό. Το Δικαστήριο όσον αφορά την παρακολούθηση της εθνικής ασφάλειας, επιτρέπει αυτό που είναι απολύτως «απαραίτητο σε μια δημοκρατική κοινωνία για τη διασφάλιση, μεταξύ άλλων, της εθνικής ασφάλειας, της άμυνας και της δημόσιας ασφάλειας».

Σε συνέχεια της απόφασης, ο υπουργός Εμπορίου των ΗΠΑ Wilbur Ross και η Επιτροπή της ΕΕ  δήλωσαν ότι είναι πρόθυμοι να συνεργαστούν. Εάν οι δύο πλευρές μπορούν να καταλήξουν σε νέα συμφωνία σχετικά με το τι συνιστά επάρκεια, τότε η απόφαση του Δικαστηρίου αναφέρει ότι η διαπίστωση της επάρκειας θα διασφαλίσει τη νομιμότητα των μεταβιβάσεων στις ΗΠΑ, εκτός εάν κάποια μελλοντική δικαστική απόφαση το αναιρέσει.

Αξίζει επίσης να σημειωθεί ότι οι διαβιβάσεις προσωπικών δεδομένων σε χώρες όπως η  Κίνα είναι αυξημένες σε σύγκριση με τις ΗΠΑ, και ειδικά μέσω της χρήσης εφαρμογών όπως το TikTok, Alibaba και TenCent. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, Wojciech Wiewiórowski, σχολίασε πρόσφατα στην Politico ότι οι ΗΠΑ είναι «πολύ πιο κοντά» στην ΕΕ από την Κίνα όσον αφορά τις κοινές αξίες προστασίας της ιδιωτικότητας. Πρόσθεσε: «Δεν έχω κρύψει ποτέ ότι προτιμούμε την επεξεργασία δεδομένων από οντότητες που μοιράζονται ευρωπαϊκές αξίες». Η ΕΕ και οι ΗΠΑ έχουν μια κοινή παράδοση προστασίας των θεμελιωδών δικαιωμάτων και του κράτους δικαίου, επομένως είναι δύσκολο να δούμε πόσες από τις μεταφορές σε τρίτες χώρες που δεν διαθέτουν αυτές τις προστασίες θα είναι νόμιμες μετά την απόφαση του δικαστηρίου.

Εν κατακλείδι, και μετά την έκδοση της απόφασης αυτής η ΕΕ αντιμετωπίζει μία μεγάλη νομική πρόκληση: Να καταφέρει να νομιμοποιήσει τη ροή προσωπικών δεδομενων σε παγκόσμιο επίπεδο, την νόμιμη διαβίβαση των δεδομένων  στους μεγαλύτερους εμπορικούς εταίρους της ΕΕ που όμως δεν λαμβάνουν μέτρα αντίστοιχου επιπέδου προστασίας. Μένει λοιπόν να δούμε πώς τελικά θα μπορέσει να διατηρηθεί η συνεργασία μεταξύ των εταιρειών με την ταυτόχρονη διασφάλιση προστασίας της ιδιωτικότητας  και των  αξιών που είναι απαραίτητες σε μια δημοκρατική κοινωνία.

ΣΩΡΕΙΑ ΠΡΟΣΤΙΜΩΝ ΑΠΟ ΤΙΣ ΕΘΝΙΚΕΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ

Στις 13 Ιουλίου 2020, η Ιταλική Αρχή Προστασίας Προσωπικών Δεδομένων “Garante”, επέβαλλε πρόστιμο ύψους 16,7 εκατομμυρίων ευρώ στην εταιρεία Wind για παράνομες δραστηριότητες επεξεργασίας προσωπικών δεδομένων σε σχέση με πρακτικές άμεσου μάρκετινγκ. Συγκεκριμένα, η Garante επισήμανε ότι εκατοντάδες καταγγέλλοντες ισχυρίστηκαν ότι έλαβαν ανεπιθύμητες επικοινωνίες, που στάλθηκαν χωρίς την προηγούμενη συγκατάθεσή τους, μέσω SMS, email, τηλεφωνικών κλήσεων και αυτόματων κλήσεων.

Επιπλέον, η Αρχή τόνισε ότι οι μεμονωμένοι ενάγοντες υποστήριξαν ότι δεν μπόρεσαν να ασκήσουν το δικαίωμά τους να αποσύρουν τη συγκατάθεσή τους και να αντιταχθούν στην επεξεργασία για σκοπούς άμεσου μάρκετινγκ, καθώς οι πληροφορίες που περιέχονται στην πολιτική απορρήτου ήταν ελλιπείς σε σχέση με τον τρόπο που θα μπορούσαν τα υποκείμενα των δεδομένων να επικοινωνήσουν με τον Υπεύθυνο επεξεργασίας. Επιπλέον, η Garante δήλωσε ότι τα δεδομένα των εναγόντων δημοσιεύθηκαν σε δημόσιους τηλεφωνικούς καταλόγους χωρίς τη θέληση τους. Η Garante διαπίστωσε επίσης  ότι οι εφαρμογές της Wind Tre «MyWind» και «My3» ρυθμίστηκαν με σκοπό να υποχρεώνουν τον χρήστη να παρέχει τη συγκατάθεσή του για διαφορετικές δραστηριότητες επεξεργασίας με κάθε πρόσβαση, επιτρέποντας όμως τη δυνατότητα ανάκλησης της συγκατάθεσης μόνο μετά από 24 ώρες. Επιπρόσθετα η Garante επεσήμανε ότι η Wind Tre παρουσίασε διάφορες ελλείψεις στη διαχείριση τρίτων μερών- συνεργατών και σε σχέση με την παράνομη ενεργοποίηση των συμβάσεων.

Συνακόλουθα, η  Garante διαπίστωσε ότι η συμπεριφορά της Wind Tre ισοδυναμούσε με παράβαση των άρθρων 5 παράγραφοι 1 και 2, 6 παράγραφος 1 στοιχείο α), 12, 24 και 25 του γενικού κανονισμού για την προστασία δεδομένων (κανονισμός (ΕΕ ) 2016/679) («GDPR»). Η Garante απαγόρευσε την παράνομη επεξεργασία των δεδομένων που συλλέχθηκαν χωρίς τη συγκατάθεση της Wind Tre, και επέβαλλε την την υιοθέτηση κατάλληλων τεχνικών και οργανωτικών μέτρων για τον αποτελεσματικό έλεγχο των τρίτων συνεργατών.

Παράλληλα, η Αρχή Προστασίας Προσωπικών δεδομένων Βελγίου (APD) επέβαλλε πρόστιμο 600.000 ευρώ στην Google για μη συμμόρφωση του σε ικανοποίηση άσκησης δικαιώματος στη λήθη. Πιο συγκεκριμένα, Η Google δεν είχε φροντίσει να αφαιρέσει συνδέσμους από τα αποτελέσματα αναζήτησής της σε άρθρα που η Αρχή θεωρούσε παλιά και βλαπτικά για τη φήμη ενός ατόμου με δημόσιο προφίλ στο Βέλγιο. Τα άρθρα που εμφάνιζαν οι σύνδεσμοι και σχετίζονταν με το όνομα του συγκεκριμένου προσώπου αφορούσαν περιπτώσεις αβάσιμων καταγγελιών παρενόχλησης. Η Google δηλαδή από αμέλεια αποφάσισε να μην αφαιρέσει τους συνδέσμους παρ όλο που είχε αποδείξεις ότι τα στοιχεία ήταν αβάσιμα και ξεπερασμένα. Η Google δήλωσε ότι σκοπεύει να ασκήσει έφεση στην απόφαση ενώπιον δικαστηρίου και ότι έχει εργαστεί σκληρά για να «επιτύχει μια ισορροπία μεταξύ των δικαιωμάτων πρόσβασης των ανθρώπων σε πληροφορίες και διασφάλισης του ιδιωτικού απορρήτου». “Δεν πιστεύαμε ότι αυτή η υπόθεση πληρούσε τα κριτήρια του Ευρωπαϊκού Δικαστηρίου για την κατάργηση της δημοσιευμένης δημοσιογραφίας από την αναζήτηση – πιστεύαμε ότι ήταν προς το συμφέρον του κοινού να παραμείνει δυνατή η αναζήτηση αυτής της αναφοράς”, δήλωσε εκπρόσωπος της Google.

Το ανώτατο δικαστήριο της ΕΕ καθιέρωσε την αρχή «δικαίωματος της λήθης» το 2014, όταν αποφάσισε ότι οι άνθρωποι θα μπορούσαν να ζητήσουν από τις μηχανές αναζήτησης όπως η  Google να αφαιρέσουν ανεπαρκείς ή άσχετες πληροφορίες από αποτελέσματα ιστού που εμφανίζονται κάτω από αναζητήσεις για τα ονόματά τους. Η APD διέταξε επίσης την Google να σταματήσει να αναφέρει τις σελίδες εντός της Ευρώπης και να παράσχει σαφέστερες πληροφορίες σχετικά με το ποιες οντότητες είναι υπεύθυνες για το χειρισμό αιτημάτων «δικαιώματος στη λήθη».

Tην ίδια στιγμή, η Νορβηγική Αρχή Προστασίας Προσωπικών δεδομένων, Datatilsynet, ανακοίνωσε την επιβολή προστίμου 500.000 ευρώ στο δήμο Rælingen για παραβίαση του GDPR και συγκεκριμένα για μη νόμιμη επεξεργασία ευαίσθητων προσωπικών δεδομένων ανηλίκων μέσω της πλατφόρμας Showbie. Η συγκεκριμένη εφαρμογή κατά παράβαση του GDPR, δεν υποβλήθηκε σε απαραίτητες εκτιμήσεις κινδύνων, εκτιμήσεις αντικτύπου προσωπικών δεδομένων  και δοκιμές πριν από τη χρήση της.

Όπως ήταν αναμενόμενο, η επιβολή προστίμων από τις εθνικές αρχές προστασίας προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης ολοένα και αυξάνεται. Αυτό που αξίζει να σημειωθεί είναι ότι τα ευρήματα τους δεν βασίζονται σε επιφανειακoύς και πρόχειρους ελέγχους. Αντίθετα, εξετάζουν με λεπτομέρεια τα τεχνικά και οργανωτικά μέτρα που έχει λάβει (αν έχει λάβει) ο κάθε Υπεύθυνος επεξεργασίας και με επίκληση της προσβολής των γενικών κανόνων του GDPR δικαιολογούν τα ποσά προστίμων χωρίς να μπορούν να στηριχθούν σε δικαστικό προηγούμενο.

Είναι ευνόητο ότι η περίοδος που διανύουμε είναι αυτή που τροφοδοτεί το νέο νομοθετικό πλαίσιο με υποθέσεις που καταδεικνύουν σαφέστερα τον τρόπο που οι Αρχές καλούνται να εφαρμόσουν τη νομοθεσία προστασίας προσπωικών δεδομένων  η οποία καλώς ή κακώς τους δίνει μεγάλη ευχέρεια κινήσεων ως προς τον τρόπο ερμηνείας και εφαρμογής των νέων διατάξεων.

Πρόστιμο 1,2 εκατομμυρίων σε ασφαλιστική εταιρεία από την Εποπτική Αρχή του Μπάντεν – Βυρτεμβέργης

Στις 30 Ιουνίου 2020, η Αρχή προστασίας δεδομένων του Μπάντεν – Βυρτεμβέργης («LfDI Baden-Württemberg») εξέδωσε μία απόφασή της, σύμφωνα με την οποία επέβαλε στην Allgemeine Ortskrankenkasse “AOK” Baden-Württemberg το πρόστιμο των 1,24 εκατομμυρίων Ευρώ για παραβίαση της νομοθεσίας τόσο αναφορικά με την παράνομη επεξεργασία προσωπικών δεδομένων στο πλαίσιο του άμεσου μάρκετινγκ όσο και για την λήψη ανεπαρκών εσωτερικών οργανωτικών και τεχνικών μέτρων για την προστασία της ιδιωτικότητας των υποκειμένων.

Συγκεκριμένα, η εταιρεία AOK Baden-Württemberg, μία από τις μεγαλύτερες ασφαλιστικές εταιρείες υγείας της Γερμανίας, μέσω διαγωνισμών που διοργάνωνε από το 2015 έως το 2019, συγκέντρωνε πλήθος προσωπικών δεδομένων συμμετεχόντων, συμπεριλαμβανομένων δεδομένων επικοινωνίας τους, αλλά και δεδομένων σχετικών με την ασφάλιση υγείας τους και τη σχέση τους με άλλες ασφαλιστικές εταιρείες υγείας. Επιπλέον, η AOK Baden-Württemberg ήθελε να χρησιμοποιήσει τα δεδομένα των συμμετεχόντων στους διαγωνισμούς αυτούς κυρίως για διαφημιστικούς σκοπούς, υπό την προϋπόθεση ότι οι τελευταίοι είχαν παράσχει τη συγκατάθεσή τους.

Η Εταιρεία, με τη βοήθεια τεχνικών και οργανωτικών μέτρων, επεδίωκε να διασφαλίσει ότι χρησιμοποιήθηκαν μόνο προσωπικά δεδομένα συμμετεχόντων που είχαν δώσει προηγουμένως ρητή συγκατάθεση για διαφημιστικούς σκοπούς. Ωστόσο, μετά από έρευνα της Εποπτικής Αρχής, διαπιστώθηκε ότι τα μέτρα αυτά ήταν τουλάχιστον ανεπαρκή και δεν πληρούσαν τις απαραίτητες προϋποθέσεις ασφαλείας. Ως αποτέλεσμα, τα προσωπικά δεδομένα περισσότερων από 500 συμμετεχόντων αξιοποιήθηκαν χωρίς τη συγκατάθεσή τους για διαφημιστικούς σκοπούς.

Αμέσως μετά την αναγγελία της κατηγορίας, η AOK σταμάτησε τις προωθητικές ενέργειες με τον τρόπο αυτό, προκειμένου να τεθούν ουσιαστικά σε δοκιμαστικό έλεγχο όλες οι διαδικασίες της και οι πολιτικές ασφαλείας της. Επιπλέον, η Εταιρεία αυτή ίδρυσε μια ειδική ομάδα για την προστασία των δεδομένων που αφορούν το Τμήμα των πωλήσεων και του μάρκετινγκ, ενώ εκτός από τις δηλώσεις παροχής συγκατάθεσης, προσάρμοσε και τις εσωτερικές της διαδικασίες.

Έτσι, η Εποπτική Αρχή δήλωσε επισήμως ότι οι εκτενείς εσωτερικές αναθεωρήσεις και προσαρμογές των τεχνικών και οργανωτικών μέτρων της Εταιρείας, καθώς και η εποικοδομητική και γόνιμη συνεργασία της με την Αρχή, αποτέλεσαν ευνοϊκούς παράγοντες για τον καθορισμό του προστίμου, σύμφωνα και με το άρθρο 83 παράγραφος 4 του GDPR.

Στο σημείο αυτό, θα πρέπει να υπογραμμιστεί ότι δεν είναι η πρώτη φορά που η Εποπτική Αρχή του Μπάντεν – Βυρτεμβέργης επιβάλει υψηλά πρόστιμα. Αντιθέτως, από την θέση σε ισχύ του GDPR προβαίνει σε τακτικούς ελέγχους οργανισμών, είτε έπειτα από καταγγελίες, είτε αυτεπαγγέλτως, έχοντας επιβάλει το πρόστιμο των 100.000€ σε Εταιρεία πώλησης φαγητού, 80.000€ σε Εταιρεία δραστηριοποιούμενη στον κλάδο των Οικονομικών, ενώ ήταν η Αρχή που επέβαλε το πρόστιμο των 20.000€ στην γνωστή υπόθεση της εφαρμογής διαδικτυακών γνωριμιών Knuddels.

Γνώμες και απόψεις: Πότε εφαρμόζεται ο GDPR.

Άποψη… όλοι έχουν μία. Ωστόσο, πολλές φορές σε αυτή μπορεί να περιέχονται προσωπικά δεδομένα τα οποία ίσως να πρέπει να προστατευτούν.

Συχνά υπάρχει έντονη κριτική σχετικά με το εάν μία άποψη είναι δίκαια ή ορθή. Για τη διαμόρφωση αυτής της κρίσης μπορεί να παίξουν ρόλο διάφορες παράμετροι, όπως για παράδειγμα η ελευθερία της έκφρασης ή η εμπιστευτικότητα των ανθρώπινων επικοινωνιών, με αποτέλεσμα η αξιολόγηση του σωστού ή του λάθος να καθίσταται ιδιαίτερα περίπλοκη ή και αμφισβητούμενη. Έτσι, γεννάται το ερώτημα εάν τελικά συγκρούεται η ελευθερία έκφρασης μίας άποψης με τη νομοθεσία για την προστασία των προσωπικών δεδομένων.

  • Αποτελούν οι απόψεις για ένα πρόσωπο προσωπικά δεδομένα;

Προσωπικό δεδομένο μπορεί να συνιστά οποιαδήποτε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, κάποιο πρόσωπο δηλαδή του οποίου η ταυτότητα μπορεί να εξακριβωθεί ή να αναγνωριστεί, μέσω αναφοράς σε συγκεκριμένα στοιχεία ταυτότητας, π.χ. μέσω του ονόματός του. Όσον αφορά τις απόψεις και τις γνώμες, συνήθως αυτές αφορούν ένα συγκεκριμένο άτομο που εύκολα μπορεί να ταυτοποιηθεί.

Σε πολλές περιπτώσεις, το όνομα ενός ατόμου μπορεί να αναφέρεται σε μία άποψη ή μπορεί να ταυτοποιηθεί μέσω του περιεχομένου της ή ακόμα μπορεί να χρησιμοποιηθούν περαιτέρω πληροφορίες για την ανάπτυξη και οριοθέτηση της άποψης.

Επιπλέον, ανάλογα με τον τρόπο με τον οποίο κάποιος ορίζει μία άποψη, θα μπορούσε αυτή να είναι εντελώς υποκειμενική, περιέχοντας προσωπικές προτιμήσεις ή εντυπώσεις, π.χ. «νομίζω πως ο τάδε φάνηκε ταραγμένος το πρωί», ή να βασίζεται απολύτως σε ένα αντικειμενικό γεγονός ή μία ειλικρινή πεποίθηση που μπορεί να είναι σωστή ή λανθασμένη, π.χ. «το συγκεκριμένο άτομο είναι ψεύτης».

Ωστόσο, ο ορισμός των προσωπικών δεδομένων είναι ευρύς και μόνο η φύση μιας συγκεκριμένης άποψης θα καθορίσει εάν εφαρμόζεται τελικά η νομοθεσία για την προστασία των δεδομένων, αλλά και πώς θα μπορούσαν να ασκηθούν τα δικαιώματα των φυσικών προσώπων σχετικά με τη άποψη αυτή.

  • Πότε μπορεί να εφαρμοστεί η νομοθεσία περί προστασίας προσωπικών δεδομένων;

Η νομοθεσία περί προστασίας δεδομένων δεν μπορεί να ισχύει για όλες τις περιπτώσεις στις οποίες εμπλέκονται γνώμες και απόψεις, καθώς αφορά μόνο προσωπικά δεδομένα που έχουν συμπεριληφθεί σε αρχείο, μέσω αυτοματοποιημένων ή μη αυτοματοποιημένων συστημάτων αρχειοθέτησης.  Για παράδειγμα, εάν κάποιος απλώς εκφράζει μια δυσάρεστη ή ανακριβή άποψη για κάποιο άλλο πρόσωπο και αυτή δεν έχει καταγραφεί κάπου, τότε η άποψη αυτή δεν θα εμπίπτει στο πεδίο της νομοθεσίας περί προστασίας προσωπικών δεδομένων.

Παρομοίως, υπάρχουν κάποια άλλα όρια για την εφαρμογή της εν λόγω νομοθεσίας. Χαρακτηριστική είναι η περίπτωση της «εξαίρεσης του νοικοκυριού», όπου η προστασία των προσωπικών δεδομένων δεν καλύπτει περιπτώσεις διατύπωσης ή καταγραφής απόψεων για αμιγώς προσωπικές ή οικιακές δραστηριότητες κάποιου, οι οποίες μάλιστα δεν έχουν σχέση με επαγγελματική ή εμπορική δραστηριότητα. Επομένως, εάν κάποιος καταγράφει στο προσωπικό ημερολόγιό του σημαντικά πράγματα για την οικογένειά του, αυτό δεν θα αποτελέσει σε καμία περίπτωση ζήτημα προστασίας δεδομένων. Αντιθέτως, ο μηχανισμός προστασίας ενδέχεται να εμπλακεί εάν ένα σχόλιο καταγράφηκε ή δημοσιεύτηκε σε ένα μέσο που δεν εμπίπτει σε αυτήν την εξαίρεση, εάν για παράδειγμα ένα τέτοιο σχόλιο εκφράστηκε δημοσίως σε ένα μέσο κοινωνικής δικτύωσης ή στον έγγραφο ή ηλεκτρονικό τύπο.

Αναφορικά με τις εμπιστευτικές απόψεις, υπάρχουν και εδώ συγκεκριμένοι δείκτες που μπορούν να καθορίσουν εάν μία άποψη εκφράστηκε εμπιστευτικά προς κάποιον. Συγκεκριμένα, για να εξεταστεί εάν μία άποψη χαρακτηρίζεται ως «εμπιστευτική» θα πρέπει να ληφθεί σοβαρά υπόψιν το περιβάλλον, ο τόπος και ο χρόνος έκφρασης αυτής της άποψης, ώστε ο λήπτης της άποψης να είναι πραγματικά σε θέση να κατανοήσει τον εμπιστευτικό χαρακτήρα της έκφρασης αυτής.

  • Τι συμβαίνει με τη δημοσιογραφία και την ελευθερία της έκφρασης;

Η προστασία δεδομένων είναι μόνο ένα από τα πολλά δικαιώματα και ελευθερίες που προστατεύονται στην Ε.Ε., ενώ πρέπει να σέβεται και να βρίσκεται σε ισορροπία με άλλα δικαιώματα και ελευθερίες, όπως η ελευθερία της έκφρασης, συμπεριλαμβανομένης της δημοσιογραφικής, ακαδημαϊκής, καλλιτεχνικής και λογοτεχνικής έκφρασης. Σε περιπτώσεις σύγκρουσης πολλαπλών δικαιωμάτων ή ελευθεριών, πρέπει να υπάρχει ισορροπία, προστατεύοντας τα προσωπικά δεδομένα των προσώπων και ερμηνεύοντας ευρέως τη ν έννοια της ελευθερίας της έκφρασης και της δημοσιογραφίας.

Σημαντικό παράδειγμα αλληλεπίδρασης των δύο αυτών δικαιωμάτων είναι αυτό του άρθρου 28 του ελληνικού νόμου Ν. 4624/2019, με τον τίτλο «Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης» , σύμφωνα με το οποίο το δικαίωμα της ελευθερίας της έκφρασης και της πληροφόρησης συμβιβάζεται με αυτό της προστασίας των προσωπικών δεδομένων. Συγκεκριμένα, το άρθρο αυτό αναφέρει ότι η επεξεργασία δεδομένων για δημοσιογραφικούς ή άλλους σκοπούς επιτρέπεται είτε όταν το φυσικό πρόσωπο έχει παράσχει την προηγούμενη ρητή του συγκατάθεση είτε όταν τα προσωπικά του δεδομένα έχουν προδήλως δημοσιοποιηθεί από το ίδιο το πρόσωπο. Επιπλέον, σύμφωνα με το άρθρο 28, υπερέχει το δικαίωμα στην ελευθερία της έκφρασης ιδίως για θέματα γενικότερου ενδιαφέροντος και όταν γίνεται λόγος για δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων, καθώς και όταν η ενημέρωση περιορίζεται στο μέτρο του αναγκαίου για την εκπλήρωση του σκοπού της ενημέρωσης του κοινού.

Στην πράξη λοιπόν, αυτό σημαίνει ότι η νομοθεσία ενδέχεται να μην βοηθά κάποιον που έχει ενοχληθεί ή αναστατωθεί από μία γνώμη ή άποψη για αυτόν, εκφρασμένη μέσω μίας ηλεκτρονικής ή έντυπης εφημερίδας, αφού ορισμένες φορές ο εκδότης μπορεί να βασίζεται σε μια «δημοσιογραφική εξαίρεση» που να επιτρέπει τη δημοσίευση της άποψής του. Η δικαιολογητική βάση πίσω από αυτό είναι ότι ο ελεύθερος τύπος σίγουρα παίζει καθοριστικό ρόλο στην διαμόρφωση της σύγχρονης κοινωνίας, ενώ η κοινωνία δεν θα ωφελούταν από τον ακραίο περιορισμό της ικανότητας των ειδησεογραφικών πρακτορείων να δημοσιεύουν απόψεις σχετικά με αναγνωρίσιμα άτομα, ειδικά για θέματα δημοσίου ενδιαφέροντος.

  • Πώς μπορεί να ικανοποιηθεί το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής των απόψεων για ένα πρόσωπο;

Οι απόψεις, όταν περιέχουν προσωπικά δεδομένα, ενδέχεται να υπόκεινται στην υποχρέωση ικανοποίησης δικαιωμάτων προστασίας δεδομένων, όπως το δικαίωμα πρόσβασης, διόρθωσης ή διαγραφής. Όλα τα δικαιώματα, συμπεριλαμβανομένου του πολύ γνωστού δικαιώματος πρόσβασης στις πληροφορίες ενός προσώπου, μπορούν να περιοριστούν σε ορισμένες περιπτώσεις, όπως όταν ισχύει η εξαίρεση του νοικοκυριού ή άλλα δικαιώματα όπως η ελευθερία της έκφρασης. Για παράδειγμα, το δικαίωμα διαγραφής (ή «δικαίωμα στη λήθη» δεν ισχύει όταν η καταγραφή ή η χρήση αυτής της άποψης είναι απαραίτητη για την άσκηση του δικαιώματος της ελευθερίας έκφρασης.

Ωστόσο, ορισμένα δικαιώματα, όπως η διόρθωση ή η διαγραφή, ισχύουν μόνο όταν πληρούνται συγκεκριμένες προϋποθέσεις. Για το δικαίωμα διόρθωσης, τα προσωπικά δεδομένα πρέπει να είναι πραγματικά «ελλιπή» ή «ανακριβή», ενώ για τη διαγραφή χρειάζεται να υπάρχει σαφής και τεκμηριωμένος λόγος που να δικαιολογεί το αίτημα διαγραφής.

Σε κάθε περίπτωση η έκφραση μίας άποψης θα πρέπει να περιορίζεται στην χρήση μόνο όσων στοιχείων είναι απαραίτητων για τη στοιχειοθέτηση και δικαιολόγησή της. Οποιαδήποτε αποκάλυψη προσωπικών δεδομένων, που θα μπορούσε να προκαλέσει βλάβη -ηθική ή χρηματική- σε ένα πρόσωπο, ή να οδηγήσει σε πιθανή δυσφήμισή του, θα πρέπει να εξετάζεται με ιδιαίτερη προσοχή ούτως ώστε να αποφευχθεί οποιαδήποτε ενδεχόμενη παραβίαση των προσωπικών δεδομένων αυτού του προσώπου, καθώς και άλλες δυσάρεστες συνέπειες.

Πηγή: DPC

Top