ΠΩΣ ΝΑ ΔΙΑΣΦΑΛΙΣΕΤΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΗΛΕΔΙΑΣΚΕΨΕΙΣ

Όσο η πανδημία δεν φαίνεται πως θα ξεπεραστεί σύντομα, τόσο παγιώνεται ο θεσμός της τηλεργασίας και οι συνακόλουθοι εναλλακτικοί τρόποι επικοινωνίας στον εργασιακό χώρο. Οι τηλεφωνικές κλήσεις συνδιάσκεψης και οι διαδικτυακές συναντήσεις —τηλεδιασκέψεις— είναι μια σταθερά της σύγχρονης εργασίας. Και ενώ πολλοί από εμάς έχουν αποκτήσει συνείδηση της κρισιμότητας της ασφάλειας στις διαδικτυακές αλληλεπιδράσεις μας, για τους περισσότερους, η προστασία της ιδιωτικότητας αποτελεί δεύτερη σκέψη.

Σίγουρα έχει τύχει σε πολλούς από εμάς, ενώ δεν έχουμε τερματίσει μια τηλεδιάσκεψη, να έχουν αρχίσει ήδη να συνδέονται οι συμμετέχοντες της επόμενης, λόγω του ότι ο κωδικός πρόσβασης είναι ο ίδιος! Εκ πρώτης όψεως αυτή η στιγμή μπορεί να  φαίνεται αστεία, αλλά φανταστείτε την περίπτωση που η τηλεδιάσκεψη αφορούσε ευαίσθητες εταιρικές ή και προσωπικές πληροφορίες.

Δυστυχώς, εάν οι τηλεδιασκέψεις δεν έχουν ρυθμιστεί σωστά, οι πρώην συνεργάτες, οι δυσαρεστημένοι υπάλληλοι ή οι χάκερ μπορεί να είναι σε θέση να τις ακούσουν ή να τις διαταράξουν. Η χρήση ορισμένων βασικών προφυλάξεων μπορεί να σας βοηθήσει να διασφαλίσετε ότι οι συναντήσεις σας θα είναι αποτελεσματικές και δεν θα αποτελούν αιτία για πρόκληση περιστατικού παραβίασης εταιρικών και προσωπικών δεδομένων.

Οι περισσότερες υπηρεσίες διαδικτυακής συνάντησης διαθέτουν ενσωματωμένα χαρακτηριστικά ασφαλείας και πολλοί πάροχοι θα σας δώσουν κάποιες βασικές προτάσεις ασφαλείας.

Ανεξάρτητα όμως από το ποιος είναι ο πάροχός σας, παραθέτουμε μερικές απλές επιλογές για τη διεξαγωγή μιας ασφαλούς τηλεδιάσκεψης:

  • Ακολουθήστε τις πολιτικές του οργανισμού σας για την ασφάλεια στην διαδικτυακή συνάντηση.
  • Περιορίστε την επαναχρησιμοποίηση των κωδικών πρόσβασης. Εάν έχετε χρησιμοποιήσει τον ίδιο κωδικό για κάποιο διάστημα, πιθανότατα τον έχετε μοιραστεί με περισσότερους ανθρώπους από ό,τι μπορείτε να φανταστείτε.
  • Εάν το θέμα συζήτησης είναι ευαίσθητο, περιλαμβάνει εμπιστευτικές πληροφορίες και μεγάλο όγκο προσωπικών δεδομένων, χρησιμοποιήστε κωδικούς πρόσβασης μιας ώρας ή κάντε χρήση του ελέγχου ταυτότητας πολλών παραγόντων.
  • Χρησιμοποιήστε το «πράσινο δωμάτιο» ή την «αίθουσα αναμονής» και μην  επιτρέπετε τη συνάντηση να ξεκινήσει μέχρι να εισέλθει ο οικοδεσπότης.
  • Ενεργοποίηστε ειδοποιήσεις εισόδου συμμετεχόντων που εμπεριέχουν  ιδιαίτερο τόνο ή ήχο.
  • Μην καταγράφετε τη συνάντηση εκτός αν είναι απολύτως απαραίτητο, αφού πρώτα έχετε ενημερώσει όλους τους συμμετέχοντες.
  • Απενεργοποιήστε τις λειτουργίες που δεν χρειάζεστε (όπως κοινή χρήση αρχείων ή κοινή χρήση οθόνης).
  • Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε ένα PIN για να αποτρέψετε κάποιον από την εισβολή στη  συνάντησή σας, που μπορεί να έχει μαντέψει τη διεύθυνση URL.
  • Περιορίστε τα δικαιώματα διαμοιρασμού οθόνης των συμμετεχόντων για να αποφύγετε τυχόν ανεπιθύμητες εικόνες.

Όπου τα θέματα συζήτησης περιλαμβάνουν εξαιρετικά ευαίσθητες πληροφορίες, καλό θα ήταν να λάβετε περισσότερες προφυλάξεις. Πρόσθετα βήματα που πρέπει να λάβετε υπόψη περιλαμβάνουν:

  • Χρήση μόνο εγκεκριμένων υπηρεσιών εικονικής συνάντησης με μοναδικούς κωδικούς πρόσβασης για κάθε συμμετέχοντα και παροχή οδηγιών να μην τους μοιράζονται.
  • Χρήση χαρακτηριστικού πίνακα (dashboard) ώστε να μπορείτε να δείτε ποιοι είναι όλοι οι συμμετέχοντες ανά πάσα στιγμή.
  • Κλείδωμα της συνάντησης μόλις εντοπίσετε όλους τους συμμετέχοντες που παρευρίσκονται.
  • Αδειοδότηση μόνο στους οικοδεσπότες να μοιράζονται τις οθόνες τους.
  • Κρυπτογράφηση των καταγραφών, που θα απαιτούν μια φράση πρόσβασης για να αποκρυπτογραφηθούν και διαγραφή καταγραφών που αποθηκεύονται από τον πάροχο.
  • Διεξαγωγή διαδικτυακών συναντήσεων μόνο σε συσκευές που έχουν εγκριθεί από τον οργανισμό.

Αυτές οι προτάσεις είναι ενδεικτικές και σίγουρα δεν μπορούν να εφαρμοστούν σε κάθε επιχείρηση ή οργανισμό. Για αυτό και είναι σημαντική η συμβολή του DPO (Υπεύθυνου Προστασίας Δεδομένων) του εκάστοτε οργανισμού που θα γνωρίζει καλά τις πολιτικές του οργανισμού και τα μέτρα προστασίας που θα  μπορούν να εφαρμοστούν για την συμμόρφωση με τον GDPR. Θυμηθείτε να λαμβάνετε υπόψιν σας την κρίση του για την ομαλή διεξαγωγή των συναντήσεων και την αποφυγή πιθανού περιστατικού παραβίασης που θα μπορούσε να αποκαλύψει σοβαρές πληροφορίες για τον οργανισμό και όσους εργάζονται ή εξυπηρετούνται από αυτόν.

IΤΑΛΙΑ: ΠΡΟΣΤΙΜΟ 7 ΕΚΑΤΟΜΜΥΡΙΩΝ ΕΥΡΩ ΚΑΤΑ TOY FACEBOOK

Η Επιτροπή Ανταγωνισμού της Ιταλίας (AGCM) επέβαλε πρόστιμο επτά εκατομμυρίων ευρώ στο Facebook για μη συμμόρφωση με προηγούμενη εντολή της που σχετίζεται με ακατάλληλη χρήση των δεδομένων των χρηστών του.

Μετά από σχετική έρευνα, η ιταλική αρχή ανταγωνισμού (AGCM) δήλωσε ότι είχε διαπιστώσει ότι η “Facebook Inc.” και η θυγατρική της “Facebook Ireland Ltd.” δεν εκτέλεσαν μια εντολή της το 2018, η οποία απαιτούσε να διακόψουν την εσφαλμένη πρακτική που εφάρμοζαν κατά τη χρήση των δεδομένων των χρηστών τους. Παράλληλα, οι Εταιρείες αμέλησαν να δημοσιεύσουν σχετική διορθωτική δήλωση, όπως τους είχε ζητηθεί από την Επιτροπή.


Τον Νοέμβριο του 2018, ήδη μετά από έρευνα εννέα μηνών, η AGCM κατέληξε στο συμπέρασμα ότι το Facebook χρησιμοποίησε τα δεδομένα των χρηστών του με τρόπο που παραβίαζε τον Κώδικα Καταναλωτών της Ιταλίας. Ως εκ τούτου, επέβαλε στο Facebook δύο πρόστιμα συνολικού ύψους δέκα εκατομμυρίων ευρώ.

Το πρώτο πρόστιμο επιβλήθηκε επειδή το Facebook «παραπλανητικά έπειθε τους χρήστες να εγγραφούν στην πλατφόρμα», χωρίς να τους ενημερώνει σωστά και άμεσα, συγκεκριμένα στη φάση εγγραφής τους, αναφορικά με το γεγονός ότι τα δεδομένα τους θα συλλεχθούν και θα υποστούν επεξεργασία για εμπορικούς σκοπούς. Το δεύτερο πρόστιμο που επεβλήθη το 2018 αφορούσε τη μη νόμιμη διαβίβαση δεδομένων χρηστών σε τρίτους.

Η αρχική έρευνα που οδήγησε στις δύο παραπάνω οικονομικές κυρώσεις το 2018 ξεκίνησε αφού τρεις ιταλικές ομάδες υπεράσπισης δικαιωμάτων προσωπικών δεδομένων κατέθεσαν ομαδική αγωγή εναντίον του Facebook για υποτιθέμενη ακατάλληλη χρήση προσωπικών δεδομένων.

Ο Ιταλός Επίτροπος Ανταγωνισμού εξήγησε σε δήλωσή του ότι το νέο πρόστιμο των επτά εκατομμυρίων ευρώ αποφασίστηκε επειδή «οι δύο εταιρείες δεν έχουν δημοσιεύσει τη διορθωτική τους δήλωση και δεν έχουν παύσει την καθιερωμένη αθέμιτη πρακτική».

Παρόλο που η” αξίωση για χρέωση “στο σημείο εγγραφής έχει εξαλειφθεί,” δεν παρέχονται ακόμη άμεσες και σαφείς πληροφορίες σχετικά με τη συλλογή και χρήση των δεδομένων των χρηστών για εμπορικούς σκοπούς”, ανέφερε η AGCM. Σύμφωνα με την τελευταία, οι πληροφορίες αυτές είναι απαραίτητες για να μπορέσουν οι καταναλωτές να αποφασίσουν εάν θα εγγραφούν στην υπηρεσία, «υπό το πρίσμα της οικονομικής αξίας που έχουν τα μεταφερόμενα δεδομένα τους για το Facebook, το οποίο αντιστοιχεί στην πληρωμή για τη χρήση της υπηρεσίας».


Από τα παραπάνω γίνεται σαφές ότι η πλατφόρμα του Facebook επιδιώκει συστηματικά τη συλλογή και επεξεργασία προσωπικών δεδομένων χρηστών ως αμοιβή για τις υπηρεσίες της. Πρόκειται για τη λεγόμενη αγορά «δύο όψεων», κατά την οποία η μία όψη, αυτή των καταναλωτών δεν πληρώνει και δεν επιβαρύνεται -εμφανώς- οικονομικά για τη χρήστη των υπηρεσιών του Facebook. Η άλλη όψη, ωστόσο, συλλέγει συστηματικά, πολλές φορές χωρίς τη συναίνεση των χρηστών της, δεδομένα για την αξιοποίησή τους στο διαδίκτυο, είτε για λόγους προώθησης των υπηρεσιών της, είτε για την πώληση των δεδομένων αυτών σε διαφημιστές, οι οποίες θα πληρώσουν αδρά για τα δεδομένα αυτά.

Τέλος, σημαντικό είναι να αναφερθεί ότι η πιο πρόσφατη νομική διαδικασία κατά του Facebook ξεκίνησε τον Ιανουάριο του 2020 και το πρόστιμο αποφασίστηκε σε συνάντηση στις 9 Φεβρουαρίου, σύμφωνα με τον Ιταλική Επιτροπή.

E-HEALTH NETWORK: ΟΔΗΓΙΕΣ ΓΙΑ ΤΗΝ ΕΚΔΟΣΗ ΠΙΣΤΟΠΟΙΗΤΙΚΩΝ ΕΜΒΟΛΙΑΣΜΟΥ

Καθώς η τεχνολογία αλλάζει με ραγδαίους ρυθμούς, πρέπει να μετασχηματιστούν ψηφιακά οι λειτουργίες που εξυπηρετούν τον κλάδο της υγείας σε παγκόσμιο επίπεδο.

Ένας από τους βασικούς στόχους της νομοθετικής παρέμβασης του Κανονισμού είναι η ενίσχυση της ευρωπαϊκής ψηφιακής κουλτούρας. Στο πλαίσιο αυτό και για την ενίσχυση της διαλειτουργικότητας μεταξύ των χωρών της ΕΕ, ιδρύθηκε το «eHealth Network» σύμφωνα με το άρθρο 14 της οδηγίας  2011/24/EU.

Το δίκτυο αυτό έχει εθελοντικό χαρακτήρα και παρέχει στα κράτη μέλη μία πλατφόρμα υποστήριξης όσον αφορά την υγεία στο διαδίκτυο.

Στις 27/01/2021, εξέδωσε κατευθυντήριες γραμμές για την εξασφάλιση της διαλειτουργικότητας μεταξύ των πιστοποιητικών εμβολιασμού όπου τα κράτη μέλη θα αποφασίσουν αν θα  τις εφαρμόσουν.

Ο όρος “πιστοποιητικά εμβολιασμού” στις εν λόγω κατευθυντήριες, αναφέρεται σε μία αξιόπιστη και επαληθεύσιμη απόδειξη εμβολιασμού που θα μπορεί να προσκομιστεί από τον κάτοχό του, κατόπιν αιτήματος.

Το Ευρωπαϊκό Συμβούλιο κατέληξε στο ότι είναι αναγκαία  η “συντονισμένη προσέγγιση των πιστοποιητικών εμβολιασμού” και η “τυποποιημένη και διαλειτουργική μορφή απόδειξης εμβολιασμού για ιατρικούς σκοπούς”,  για αυτό και οι κατευθυντήριες γραμμές συντάχθηκαν με τρόπο που να εξασφαλίζει την επεξεργασία ενός ελάχιστου συνόλου δεδομένων, συμπεριλαμβανομένου ενός μοναδικού αναγνωριστικού για τα πιστοποιητικά εμβολιασμού.

Χωρίς βέβαια να έχουν υποχρεωτικό χαρακτήρα, οι οδηγίες αυτές υποστηρίζουν τη διαλειτουργικότητα μεταξύ των κρατών μελών που θα τις ακολουθήσουν. Ευνόητο είναι πως η έλλειψη ενός τέτοιου ψηφιακού πιστοποιητικού εμβολιασμού δεν θα πρέπει να οδηγεί σε φαινόμενα κοινωνικού ρατσισμού και διακρίσεων, ενώ δεν αποκλείει την ταυτόχρονη χρήση ενός μη ψηφιακού πιστοποιητικού εμβολιασμού  COVID-19. Ωστόσο, είναι σημαντικό να είμαστε προετοιμασμένοι για διαφορετικά μελλοντικά σενάρια με την επιφύλαξη των συνεχιζόμενων νομικών, ηθικών, επιστημονικών και κοινωνικών προβληματισμών  στην Ευρώπη.

Οι οδηγίες τονίζουν ότι τα πιστοποιητικά εμβολιασμού πρέπει να χρησιμοποιούνται κυρίως ως μία τυποποιημένη και διαλειτουργική μορφή απόδειξης εμβολιασμού για ιατρικούς σκοπούς. Άλλοι σκοποί για τους οποίους θα μπορούσαν να χρησιμοποιηθούν μπορούν να αποφασίζονται από τα κράτη μέλη, με την επιφύλαξη των επιστημονικών, ηθικών, νομικών και κοινωνικών εξελίξεων.

Μεταξύ των προαναφερόμενων ιατρικών σκοπών βρίσκονται για παράδειγμα καταστάσεις όπου ένα άτομο μπορεί να λάβει δύο δόσεις εμβολίων σε διάφορες χώρες και χρειάζεται να επιδείξει τις πληροφορίες σχετικά με το προηγούμενο εμβόλιο στον δεύτερο πάροχο υγειονομικής περίθαλψης,  ή καταστάσεις όπου ένας ασθενής αναπτύσσει παρενέργειες και οι μόνες πληροφορίες που είναι διαθέσιμες στους παρόχους υγειονομικής περίθαλψης αναγράφονται στο πιστοποιητικό.

Το έγγραφο των οδηγιών  προσδιορίζει και περιγράφει βασικά στοιχεία διαλειτουργικότητας για ένα πιστοποιητικό εμβολιασμού COVID-19 και συγκεκριμένα:

 1. Το ελάχιστο σύνολο δεδομένων με τις βασικές πληροφορίες που θα περιλαμβάνονται στο πιστοποιητικό εμβολιασμού.

2. Το Μοναδικό αναγνωριστικό επιβεβαίωσης εμβολιασμού, το οποίο θα είναι παγκοσμίως μοναδικό και επαληθεύσιμο.

Το έγγραφο επικεντρώνεται στα παραπάνω στοιχεία διαλειτουργικότητας, ενώ απαιτούνται περαιτέρω εργασίες και έκδοση ενδεχομένως νέων οδηγιών για τα μέτρα προστασίας και ασφάλειας των δεδομένων, ούτως ώστε να εξασφαλιστεί και η προστασία των δεδομένων ήδη από το σχεδιασμό (Privacy by Design).

Το ελάχιστο σύνολο δεδομένων για ένα πιστοποιητικό εμβολιασμού οργανώνεται σε 3 τομείς:

 1. Ταυτότητα προσώπου (όνομα, φύλο, ημερομηνία γέννησης)

2. Πληροφορίες εμβολιασμού (εταιρεία εμβολιασμού, ημερομηνία δόσης)

3. Μεταδεδομένα  (εκδότης πιστοποιητικού, χρόνος που θα είναι έγκυρο)

Σαφώς το σύστημα πιστοποιητικών εμβολιασμού θα πρέπει να σχεδιάζεται κατά τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ελέγχει τη χρήση των δεδομένων του πιστοποιητικού. Αυτό θα διευκρινιστεί περαιτέρω ως μέρος της δόμησης του privacy by design.

Είναι ζωτικής σημασίας να διασφαλιστεί ότι κάθε πιστοποιητικό, είτε σχετικά με τη μερική ή την ολοκληρωμένη διαδικασία εμβολιασμού που λαμβάνει χώρα στα κράτη μέλη της ΕΕ, θα χαρακτηρίζεται από ένα μοναδικό αναγνωριστικό επιβεβαίωσης εμβολιασμού (UVCI). Αυτό το UVCI πρέπει να περιλαμβάνεται σε κάθε εκδοθέν πιστοποιητικό εμβολιασμού. Το UVCI θα μπορεί επίσης να χρησιμοποιηθεί, σε μεταγενέστερα στάδια, για την επαλήθευση του εν λόγω πιστοποιητικού αλλά και ως βασικός σύνδεσμος πρόσθετων πληροφοριών σχετικά με τον εμβολιασμό, μόλις αναπτυχθούν και παγιωθούν οι νέες διαδικτυακές εφαρμογές υγείας, προάγοντας επίσης τη διαλειτουργικότητα.

Ένας τέτοιος αναγνωριστικός κωδικός θα ακολουθεί μια κοινή δομή και μορφή που θα διευκολύνει την ανθρώπινη και/ή την μηχανική ερμηνεία των πληροφοριών και θα μπορεί να περιλαμβάνει στοιχεία όπως η χώρα εμβολιασμού, το ίδιο το εμβόλιο και ένα ειδικό αναγνωριστικό του κράτους μέλους. Θα πρέπει να εξασφαλίζει ευελιξία στα κράτη μέλη όσον αφορά τη μορφοποίησή του, τηρώντας πλήρως τη νομοθεσία για την προστασία των δεδομένων.

Τα ψηφιακά στοιχεία του πιστοποιητικού επιτρέπουν την αξιόπιστη επαλήθευση και προστασία από ενδεχόμενη πλαστογραφία, αυξάνοντας ταυτόχρονα την ταχύτητα και βελτιώνοντας τη χρηστικότητα της διαδικασίας επαλήθευσης.

Ωστόσο, για μια συντονισμένη προσέγγιση σε επίπεδο ΕΕ, απαιτείται περαιτέρω εργασία στη σφαίρα του Διαδικτύου ηλεκτρονικής υγείας σε συνεργασία με άλλες σχετικές ομάδες και οργανώσεις, προκειμένου να:

  • Υπάρχουν μηχανισμοί για τον προσδιορισμό εξουσιοδότησης των χρηστών των εν λόγω πιστοποιητικών
  • Υποστηρίζεται η επαλήθευση των πιστοποιητικών εμβολιασμού
  • Παρέχεται υποστήριξη για πρόσθετα χαρακτηριστικά, όπως η ανάκληση των πιστοποιητικών
  • Να γίνει ανάλυση των νομικών επιπτώσεων χρήσης της διαλειτουργικής εφαρμογής, τηρώντας παράλληλα το νομικό πλαίσιο της ΕΕ για την προστασία δεδομένων και εφαρμόζοντας τις αρχές προστασίας δεδομένων.

Στην Ελλάδα έχει ήδη τεθεί σε λειτουργία η ηλεκτρονική πλατφόρμα Έκδοσης Βεβαίωσης Εμβολιασμού κατά του COVID-19.  Στις 18-1-2021 δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως η ΚΥΑ 1163 [ΦΕΚ τ.Β’ 114/18-1-2021], για τη διαδικασία έκδοσης Βεβαίωσης Εμβολιασμού κατά του κορωνοϊού COVID-19. Η ΚΥΑ επαναλαμβάνει τις διατάξεις του άρθρου 55 παρ.5 του Ν.4764/2020.

Στο έγγραφο της βεβαίωσης περιλαμβάνεται το όνομα του πολίτη που εμβολιάστηκε, το ΑΜΚΑ του, το όνομα της εταιρείας του εμβολίου που έκανε, η ημερομηνία εμβολιασμού του αλλά και η ημερομηνίας της δεύτερης δόσης του εμβολίου.

Προκειμένου να λάβει τη βεβαίωση, το μόνο που ζητείται από τον πολίτη είναι να εισέλθει, μέσω της Ενιαίας Πληροφοριακής Πύλης Δημόσιας Διοίκησης, στην ηλεκτρονική Πλατφόρμα Έκδοσης Βεβαίωσης Εμβολιασμού, εισάγοντας τα διαπιστευτήρια-κωδικούς του. Η βεβαίωση εκδίδεται αυτοματοποιημένα, περιλαμβάνοντας τις ήδη προβλεφθείσες από το νόμο και το άρθρο 1 της ΚΥΑ πληροφορίες.

Οι πληροφορίες που καταχωρούνται στη βεβαίωση βρίσκονται στο Εθνικό Μητρώο Εμβολιασμών, το οποίο τηρείται από την Η.ΔΙ.Κ.Α. Α.Ε., ως εκτελούσα την επεξεργασία για λογαριασμό του Υπουργείου Υγείας. Για την έκδοση της Βεβαίωσης, οι πληροφορίες αυτές «αντλούνται» από το Μητρώο (παράλληλα με την άντληση του ΑΜΚΑ από το αντίστοιχο Μητρώο της Η.ΔΙ.Κ.Α.) και μεταφέρονται στην Πλατφόρμα, με την εφαρμογή «κατάλληλων τεχνικών μέτρων κρυπτογράφησης».

Όσο και οι υπόλοιπες χώρες της ΕΕ δημιουργούν τις δικές τους ηλεκτρονικές πλατφόρμες για την έκδοση των πιστοποιητικών εμβολιασμού, μένει να δούμε πότε και πώς θα επιτευχθεί πράγματι ο στόχος της διαλειτουργικότητας που επισημαίνει το ehealth Νetwork και πώς θα συμβιώσουν αρμονικά οι εθνικές νομοθεσίες των χωρών, χωρίς να θίγονται οι αρχές προστασίας προσωπικών δεδομένων που ορθά εφαρμόζονται ενιαία σε ευρωπαϊκό επίπεδο, τουλάχιστον μέσω του GDPR.

ΤΗΛΕΡΓΑΣΙΑ ΚΑΙ ΕΚΤΥΠΩΣΗ ΕΓΓΡΑΦΩΝ

Tα αποτελέσματα έρευνας γνωστής βρετανικής εταιρείας αποκάλυψαν πως τα δύο τρίτα των υπαλλήλων που εργάζονται από το σπίτι, παραβιάζουν τον ΓΚΠΔ με το να εκτυπώνουν στο σπίτι έγγραφα  που σχετίζονται με την εταιρεία τους και περιλαμβάνουν προσωπικά δεδομένα.

Η βρετανική εταιρεία ανακάλυψε ότι το 66% των τηλεργαζομένων εκτυπώνουν εταιρικά έγγραφα από τότε που ξεκίνησαν την τηλεργασία, με μέσο όρο πέντε έγγραφα κάθε εβδομάδα. Τα έγγραφα αυτά περιλαμβάνουν σημειώσεις/ημερήσιες διατάξεις συνεδριάσεων (42%), εσωτερικά έγγραφα,  εγχειρίδια διαδικασιών (32%), εμπορικές συμβάσεις και ιδιωτικά συμφωνητικά (30%) και έντυπα εσόδων/εξόδων (27%).

Επιπλέον, το 20% των τηλεργαζομένων παραδέχτηκε ότι δεν είναι λίγες οι φορές που εκτυπώνουν εμπιστευτικές πληροφορίες και προσωπικά δεδομένα άλλων εργαζομένων, συμπεριλαμβανομένης της μισθοδοσίας τους, των διευθύνσεων και των ιατρικών πληροφοριών τους, με το 13% να έχει επίσης στην κατοχή του τυπωμένα βιογραφικά σημειώματα ή έντυπα αιτήσεων.

Το ζήτημα είναι ότι, για να συμμορφωθούν με τον ΓΚΠΔ, όλες οι εταιρείες που αποθηκεύουν και εν γένει επεξεργάζονται προσωπικές πληροφορίες σχετικά με τους πολίτες της ΕΕ, εντός των κρατών της ΕΕ, οφείλουν να έχουν προβλέψει μια αποτελεσματική, τεκμηριωμένη και κυρίως ελεγχόμενη διαδικασία για τη συλλογή, αποθήκευση και καταστροφή προσωπικών δεδομένων.

Ωστόσο, όταν οι εργαζόμενοι ρωτήθηκαν αν έχουν καταστρέψει έντυπα έγγραφα που εκτύπωσαν από τότε που άρχισε η τηλεργασία, το 24% των ερωτηθέντων δήλωσε ότι δεν τα έχει καταστρέψει ακόμα, καθώς οι υπάλληλοι αυτοί σχεδιάζουν να τα πάρουν πίσω μαζί τους στο γραφείο όταν επιστρέψουν, ενώ ένα επιπλέον 24% δήλωσε ότι ναι μεν χρησιμοποίησε μια μηχανή τεμαχισμού στο σπίτι αλλά ι πέταξε τα έγγραφα στα δικά του απόβλητα. Αυτή η μέθοδος διάθεσης δεν συνιστάται, λόγω των προσωπικών κάδων απορριμμάτων που δεν παρέχουν αρκετή ασφάλεια για διάθεση εμπιστευτικών πληροφοριών και συνεπώς εξακολουθούν να αφήνουν τους εργοδότες εκτεθειμένους σε ενδεχόμενο περιστατικό παραβίασης προσωπικών  δεδομένων και πιθανά πρόστιμα.

Το πιο ανησυχητικό ωστόσο είναι ότι το 8% των ερωτηθέντων δήλωσαν ότι δεν σχεδιάζουν καν  να καταστρέψουν τα έγγραφα της εταιρείας που έχουν εκτυπώσει στο σπίτι, με το 7% να λέει ότι δεν το έχουν κάνει επειδή δεν ξέρουν πώς!

Πρέπει όμως να σημειωθεί ότι η εκτύπωση οποιασδήποτε τεκμηρίωσης που περιλαμβάνει προσωπικές πληροφορίες σχετικά με τους υπαλλήλους ή τους υποψήφιους υπαλλήλους είναι μια δραστηριότητα υψηλού κινδύνου με βάση τον ΓΚΠΔ, ενώ μάλιστα εάν οι πληροφορίες αυτές φτάσουν σε λάθος χέρια, μπορούν να χρησιμοποιηθούν ακόμα και για υποκλοπή ταυτότητας.

Αποτελεί τεράστια παραβίαση της ιδιωτικής ζωής το γεγονός ότι τόσοι πολλοί εργαζόμενοι στο σπίτι εκτυπώνουν έγγραφα όπως μισθοδοσία και προσωπικές πληροφορίες όπως διευθύνσεις. Ακόμη και τα αμιγώς εσωτερικά εταιρικά έγγραφα, όπως οι σημειώσεις συνάντησης και οι ημερήσιες διατάξεις, μπορεί να είναι ιδιαιτέρως αποκαλυπτικά, επομένως πρέπει να ληφθούν επιπλέον μέτρα τόσο τεχνικά όσο και οργανωτικά για τη διαφύλαξή τους.

Είναι ζωτικής σημασίας οι ηγέτες των επιχειρήσεων να αναθεωρήσουν τις τρέχουσες διαδικασίες τους και να εκπαιδεύσουν το προσωπικό τους σχετικά με τις κατευθυντήριες γραμμές του ΓΚΠΔ, καθώς η εργασία από το σπίτι απαιτεί οι τηλεργαζόμενοι να ακολουθούν ένα διαφορετικό πρότυπο ασφαλείας από αυτό της εργασίας στις εγκαταστάσεις της εταιρείας.

Για τους λόγους αυτούς είναι απαραίτητο οι επιχειρήσεις και οργανισμοί να εκμεταλλευτούν την παρουσία του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) που μπορεί να διαθέτουν, ώστε αυτός να προβεί στην κατάλληλη καθοδήγηση και ενημέρωση του προσωπικού. Σε περίπτωση απουσίας ενός ΥΠΔ, η σωστή αναθεώρηση των πολιτικών της εταιρείας, η ορθή τεκμηρίωση και σύνταξη τους αποτελεί ένα πρώτο προστατευτικό μέτρο, ειδικά σε μια εποχή που πλέον η τηλεργασία αποτελεί μία μόνιμη λύση.

Μπορείτε να διαβάσετε την έρευνα εδώ.

HAPPY DATA PROTECTION DAY!

Τα προσωπικά δεδομένα των ανθρώπων υφίστανται επεξεργασία κάθε δευτερόλεπτο -στην εργασία τους , στον τομέα της υγείας, στον δημόσιο τομέα, όταν αγοράζουν αγαθά ή υπηρεσίες, όταν περιηγούνται στο διαδίκτυο, όταν ταξιδεύουν κ.α. Ωστόσο, οι άνθρωποι, τα υποκείμενα δηλαδή των δεδομένων, δεν είναι τόσο εξοικειωμένοι με τους κινδύνους που σχετίζονται με την προστασία των προσωπικών τους δεδομένων και των δικαιωμάτων που διαθέτουν. Σπάνια γνωρίζουν τους τρόπους με τους οποίους μπορούν να προστατευθούν εάν θεωρούν ότι έχει παραβιαστεί η ιδιωτικότητά τους.

Στις 26 Απριλίου του 2006, το Συμβούλιο της Ευρώπης αποφάσισε να ξεκινήσει και να καθιερώσει την Ημέρα Προστασίας Δεδομένων, η οποία γιορτάζεται κάθε χρόνο στις 28 Ιανουαρίου. Η ημέρα αυτή μας υπενθυμίζει κάθε χρόνο να εξετάζουμε τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά μας δεδομένα ως υποκείμενα δεδομένων, τις νομικές βάσεις και τους λόγους για τους οποίους οι οργανισμοί συλλέγουν εξ αρχής και επεξεργάζονται προσωπικά δεδομένα των υποκειμένων, καθώς και τις πολιτικές προστασίας δεδομένων και τις διαδικασίες που υπάρχουν σε ισχύ για την διασφάλιση ενός υψηλού επιπέδου ασφαλείας.

Είναι λοιπόν μια εξαιρετική ευκαιρία να αποτιμήσουμε και να αξιολογήσουμε την ασφάλεια του οργανισμού μας και να ελέγξουμε τις πρακτικές που ακολουθούμε, ώστε να είμαστε καθ’ όλα συμμορφωμένοι με το ισχύον νομοθετικό πλαίσιο.

Η Privacy Advocate ετοίμασε το παρακάτω βίντεο με σκοπό να παρουσιάσει τα κύρια ζητήματα που φαίνεται πως θα απασχολήσουν τους οργανισμούς τη χρονιά αυτή, μαζί με τις βέλτιστες πρακτικές και τα βήματα που πρέπει να ακολουθούν οι οργανισμοί για να παραμένουν ασφαλείς και να διατηρήσουν την εμπιστοσύνη των υποκειμένων των οποίων τα δεδομένα επεξεργάζονται. 

 

 

 

ΕΓΚΑΤΑΣΤΑΣΗ ΣΥΣΤΗΜΑΤΩΝ CCTV ΓΙΑ ΟΙΚΙΑΚΗ ΧΡΗΣΗ

Καθημερινά όλο και περισσότεροι οργανισμοί αποφασίζουν να εγκαταστήσουν συστήματα βιντεοεπιτήρησης (συστήματα CCTV) προκειμένου να διασφαλίσουν την ασφάλεια των αγαθών που διαθέτουν αλλά και των φυσικών προσώπων που εξυπηρετούν. Ωστόσο, πολλές φορές τέτοια συστήματα χρησιμοποιούνται και από ιδιώτες για οικιακή χρήση, με σκοπό να αποτραπεί οποιαδήποτε κακόβουλη ενέργεια ή να αναγνωριστεί στη συνέχεια ο δράστης κάποιου εγκλήματος.

Στο πεδίο εφαρμογής του GDPR, υπάγεται κάθε επεξεργασία που αφορά δεδομένα φυσικών προσώπων. Επομένως, εφαρμόζεται και στην επεξεργασία που πραγματοποιείται μέσω των οικιακών συστημάτων CCTV, από τη στιγμή που καταγράφεται ή/και αποθηκεύεται σε αρχείο εικόνα ή βίντεο στο οποίο απεικονίζονται φυσικά πρόσωπα εκτός των χώρων της περιμέτρου ιδιοκτησίας του χειριστή του συστήματος.

Ως χώροι εκτός της ιδιοκτησίας του χειριστή νοούνται για παράδειγμα οι χώροι γειτονικών σπιτιών (π.χ. οι κήποι και οι πυλωτές τους), τα πεζοδρόμια και οι δρόμοι γύρω από το σπίτι όπου έχει εγκατασταθεί το σύστημα CCTV.

Ίσως σκέφτεστε να χρησιμοποιήσετε ένα σύστημα CCTV ως απαραίτητο μέσο για την προστασία της περιουσίας σας από πράξεις εγκληματικότητας και αντικοινωνική συμπεριφορά. Ένα οικιακό σύστημα CCTV όμως θα πρέπει να λειτουργεί με υπεύθυνο τρόπο που σέβεται την ιδιωτικότητα των άλλων.

Ακολουθούν μερικές οδηγίες που θα σας βοηθήσουν να μειώσετε τον κίνδυνο παραβίασης της ιδιωτικότητας των φυσικών προσώπων, οι οποίοι ενδεχομένως ελλοχεύουν στη χρήση ενός συστήματος CCTV.

ΠΡΟΒΛΕΨΕΙΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΓΙΑ ΤΟ 2021

To 2021 καταφθάνει και όλα δείχνουν πως θα είναι ένα έτος μετάβασης και αναπροσαρμογής. Οι οργανισμοί, οι καταναλωτές και οι επιχειρήσεις κάθε είδους αρχίζουν να αφήνουν πίσω την πανδημία και τις επιπτώσεις της και υιοθετούν σταδιακά την «νέα κανονικότητα».

H ιδιωτικότητα και η διασφάλιση των προσωπικών δεδομένων παραμένει ο απόλυτος στόχος. Οι οργανισμοί πρέπει να συμβαδίζουν με νέες έννοιες και απαιτήσεις, προκειμένου να παραμένουν συμμορφωμένοι και να ανταποκρίνονται στις προσδοκίες των καταναλωτών. Οι ελεγκτικές αρχές πιάνουν εντατικά δουλειά, οι καταναλωτές ασκούν ενεργά τα δικαιώματα επί των προσωπικών τους δεομένων και οι κυρώσεις αυξάνονται. Ποιες είναι έτσι οι νέες τάσεις που χρειάζεται όλοι να λάβουν υπόψιν για τον προγραμματισμό της νέας χρονιάς;

Ευαισθητοποίηση των οργανισμών και κουλτούρα προστασίας ιδιωτικότητας

Το 2020 στιγματίστηκε από την πανδημία του κορωνοϊού, η οποία επηρέασε κάθε πτυχή της οικονομίας, κάθε άτομο και κάθε μέρος του κόσμου. Παράλληλα όμως οδήγησε σε μια συνεχή αύξηση της ευαισθητοποίησης των καταναλωτών σχετικά με τα δικαιώματα προστασίας της ιδιωτικής τους ζωής. Λόγω της καθημερινής δημοσίευσης και συζήτησης νέων πρακτικών επεξεργασίας δεδομένων -όπως η συλλογή δεδομένων τοποθεσίας για την πρόληψη εξάπλωσης του ιού, αλλά και η αυξανόμενη ανάγκη των εργοδοτών για επιπρόσθετη και κατ’ εξαίρεση συλλογή δεδομένων υγείας των υπαλλήλων τους-, η προστασία της ιδιωτικότητας έχει επιβεβαιωμένα εξασφαλίσει τη θέση της στο προσκήνιο το 2021.

Μάλιστα, ορισμένοι προβλέπουν ότι ο συνδυασμός της ευαισθητοποίησης των καταναλωτών και της κανονιστικής ρύθμισης θα στρέψει την προσοχή στην ηθική των δεδομένων ως κινητήρια δύναμη για τη λήψη αποφάσεων το 2021. Οι οργανισμοί πρόκειται να συνδέσουν ρητά το όραμα και τις αξίες τους με την ηθική τους θέση σχετικά με την προστασία των προσωπικών δεδομένων, κάτι που πλέον θα συμπεριλαμβάνεται ως μείζον ζήτημα ακόμα και στις ετήσιες εκθέσεις πεπραγμένων των οργανισμών. Βέβαια, αυτή η συνδεσιμότητα με τη διακυβέρνηση και την ασφάλεια των δεδομένων υπάρχει εδώ και λίγο καιρό στους πιο ώριμους οργανισμούς, απλώς σήμερα συζητείται πιο ανοιχτά.

Οι καταναλωτές ζητούν απόλυτη διαφάνεια

Οι κυβερνήσεις δεν είναι οι μόνες που θα περιμένουν περισσότερα από τα πρότυπα απορρήτου των μεγάλων εταιρειών τεχνολογίας. Δεδομένου ότι συμβάντα όπως η υπόθεση TikTok έχουν κάνει τους ανθρώπους πιο ενήμερους για το ποιες εφαρμογές θα μπορούσαν να έχουν πρόσβαση στα προσωπικά τους δεδομένα, όλο και περισσότεροι καταναλωτές θα απαιτήσουν διαφάνεια ως προς τον τρόπο επεξεργασίας των δεδομένων τους. Το 2021 οι εταιρείες που είναι διαφανείς σχετικά με τον τρόπο με τον οποίο χρησιμοποιούν δεδομένα, πιθανότατα θα είναι πιο επιτυχημένες. Το κοινό ανησυχεί περισσότερο από ποτέ για τα δεδομένα του και οι επιλογές του θα το αντικατοπτρίσουν σύντομα.

Πλουραλισμός παγκόσμιου κανονιστικού πλαισίου

Η Gartner προβλέπει ότι το 2021 το 65% των ανθρώπων σε ολόκληρο τον κόσμο θα προστατεύουν τα προσωπικά τους δεδομένα βασιζόμενοι σε νομοθετικά πλαίσια προστασίας της ιδιωτικότητας, σε σύγκριση με το 10% του 2020.

Νέα καθεστώτα προστασίας δεδομένων βρίσκονται σε εξέλιξη, όπως αυτό της Κίνας, η οποία τον Οκτώβριο δημοσίευσε ένα πρώτο σχέδιο νόμου περί προστασίας προσωπικών δεδομένων (Draft PIPL), με στόχο την προστασία της ιδιωτικής ζωής των κατοίκων της ηπειρωτικής Κίνας και της Αυστραλίας. Επιπλέον, το νομοσχέδιο για την προστασία Προσωπικών Δεδομένων της Ινδίας βρίσκεται υπό εξέταση, το οποίο παρουσιάζει μεν ομοιότητες με τον GDPR, έχει όμως σημαντικές διαφορές, για τις οποίες ανησυχεί η παγκόσμια κοινότητα.

Για τους οργανισμούς που δραστηριοποιούνται διεθνώς, η ανάγκη να ισορροπήσουν μεταξύ πολλαπλών κανονιστικών πλαισίων θα συνεχιστεί και μετά το 2021. Αναμφίβολα ο GDPR συνεχίζει να έχει παγκόσμια ισχύ, επηρεάζοντας τόσο τα αναδυόμενα ρυθμιστικά πλαίσια προστασίας δεδομένων όσο και τα αρκετά ώριμα. Αυτή η αστάθεια όμως είναι πιθανό να συνεχιστεί για πολύ καιρό και οργανισμοί που υπόκεινται σε καθεστώτα όπως ο GDPR ή ο CCPA της Καλιφόρνια, ίσως κριθεί σκόπιμο να εφαρμόσουν τις απαιτήσεις αυτές ακόμη και εκτός των δικαιοδοσιών που καλύπτονται από το ως άνω νομικό πλαίσιο.

Αβεβαιότητα σχετικά με τις διεθνείς διαβιβάσεις δεδομένων

Η ασάφεια σχετικά με τις διεθνείς διαβιβάσεις δεδομένων αποτέλεσε έντονο θέμα συζήτησης το 2020. Τον Ιούλιο το Ανώτατο Δικαστήριο της Ευρωπαϊκής Ένωσης κατέρριψε, με την λεγόμενη απόφαση SCHREMS II, την Ασπίδα Προστασίας της Ιδιωτικής ζωής των ΗΠΑ (US Privacy Shield), η οποία στο παρελθόν επέτρεπε τη διαβίβαση δεδομένων μεταξύ της ΕΕ και των ΗΠΑ. Η επίλυση του ζητήματος αυτού θα μπορούσε να αποτελέσει σημείο πίεσης για την εισερχόμενη κυβέρνηση των ΗΠΑ, κυρίως λόγω της σημασίας της διαβίβασης δεδομένων σε εκνευρισμένες πλέον αμερικανικές αλλά και παγκόσμιες επιχειρήσεις.  

Στις αρχές του 2021 θα δούμε επίσης το τέλος της μεταβατικής περιόδου του Ηνωμένου Βασιλείου μετά την έξοδό του από την Ε.Ε. Αναμένεται ευρέως ότι το Ηνωμένο Βασίλειο θα γίνει εν τέλει «τρίτη χώρα» όσον αφορά τον GDPR, ο οποίος θα έχει σημαντικές επιπτώσεις στις ευρωπαϊκές επιχειρήσεις. Αυτό σημαίνει ότι εάν ένας οργανισμός διαβιβάζει προσωπικά δεδομένα από την ηπειρωτική Ευρώπη στο Ηνωμένο Βασίλειο για σκοπούς αποθήκευσης ή απλής χρήσης θα πρέπει να βρει εναλλακτικές λύσεις για να βεβαιωθεί ότι αυτές οι διαβιβάσεις μπορούν να συμβούν με τρόπο που δεν παραβιάζει τους κανόνες προστασίας της ιδιωτικότητας.

Δυσκολία επίτευξης ομοφωνίας για την χρήση κρυπτογράφησης

Τον περασμένο Οκτώβριο κυκλοφόρησε μια δήλωση από το Υπουργείο Δικαιοσύνης των ΗΠΑ, υπογεγραμμένο από εκπροσώπους των ΗΠΑ, του Ηνωμένου Βασίλειου, της Αυστραλίας, της Νέας Ζηλανδίας, του Καναδά, της Ινδίας και της Ιαπωνίας, υποστηρίζοντας ότι η τεχνολογία κρυπτογράφησης από άκρο σε άκρο (end-to-end encryption) θέτει προκλήσεις για τη δημόσια ασφάλεια, συμπεριλαμβανομένων των ευάλωτων μελών της κοινωνίας, όπως τα θύματα κακοποίησης. Η δήλωση ζητούσε να επιτραπεί με νόμο η πρόσβαση σε περιεχόμενο με «αναγνώσιμη και χρησιμοποιήσιμη μορφή, όταν υπάρχει νόμιμη εξουσιοδότηση και η πρόσβαση είναι απαραίτητη και αναλογική με τον επιδιωκόμενο σκοπό».

Τον Δεκέμβριο του 2020, η Επίτροπος για τα Παιδιά του Ηνωμένου Βασιλείου, Anne Longfield, δήλωσε ότι η κρυπτογράφηση ηλεκτρονικών επικοινωνιών από άκρο σε άκρο δεν θα πρέπει να ισχύει για παιδικούς λογαριασμούς των γνωστών τεχνολογικών πλατφορμών όπως το Facebook Messenger. «Η κρυπτογράφηση από άκρο σε άκρο καθιστά αδύνατη για την ίδια την πλατφόρμα να διαβάσει τα περιεχόμενα των μηνυμάτων και κινδυνεύει να εμποδίσει την αστυνομία και τους εισαγγελείς να συγκεντρώσουν τα αποδεικτικά στοιχεία που χρειάζονται για να διώξουν τους δράστες σεξουαλικής εκμετάλλευσης και κακοποίησης παιδιών», δήλωσε η Longfield.

Ωστόσο, οι υπερασπιστές της ιδιωτικότητας είναι αντίθετοι σε οποιεσδήποτε απόπειρες -βασισμένες είτε στην Ε.Ε. είτε στις ΗΠΑ- αποδυνάμωσης της κρυπτογράφησης. Όπως υποστηρίζεται, με τον τρόπο αυτό θα δοθεί ένα «κλειδί» προκειμένου οι κυβερνήσεις να μπορούν να ξεκλειδώσουν τα περιεχόμενα των δεδομένων του εκάστοτε προσώπου. Αλλά αυτό που πραγματικά επιδιώκεται είναι να δημιουργήσουν την ευπάθεια ώστε να μπορούν να ξεκλειδώσουν στη συνέχεια τα δεδομένα όλων.

Πράγματι, οποιαδήποτε αποδυνάμωση της κρυπτογράφησης από άκρο σε άκρο το 2021 πιθανότατα θα προκαλέσει έντονο διάλογο μεταξύ μεγάλων τεχνολογικών παικτών, των ρυθμιστικών αρχών αλλά και των υπερασπιστών της ιδιωτικότητας.

Η ανάγκη για την προστασία των δεδομένων των ατόμων είναι πιο εμφανής από ποτέ, κυρίως λόγω μερικών αξιοσημείωτων υποθέσεων που έχουν λάβει έκταση τον τελευταίο χρόνο. Τώρα που το ευρύ κοινό έχει μεγαλύτερη επίγνωση αυτών των ζητημάτων, οι οργανισμοί θα πρέπει να πληρούν υψηλότερα πρότυπα ασφαλείας και να λαμβάνουν πιο ώριμα μέτρα.

Όλες αυτές οι αλλαγές θα μπορούσαν να κάνουν το 2021 ένα σημείο καμπής για την ασφάλεια των δεδομένων, ενώ η εφαρμογή των διαδικασιών προστασίας δεδομένων μπορεί να προκαλέσει κάποια αναστάτωση και σύγχυση στην αρχή. Ένα όμως είναι σίγουρο… ότι τελικά εντός του 2021 μπορεί να εδραιωθεί ένα ασφαλέστερο και πιο αξιόπιστο για όλους ψηφιακό τοπίο.

ΠΡΟΣΤΙΜΟ 3 ΕΚΑΤΟΜΜΥΡΙΩΝ ΕΥΡΩ ΣΤΗΝ ΕΤΑΙΡΕΙΑ CARREFOUR ΓΙΑ ΠΑΡΑΒΙΑΣΕΙΣ ΤΟΥ GDPR

H πολυεθνική εταιρεία Carrefour αναγκάστηκε  να καταβάλλει το ποσό των 3 εκατομμυριών ευρώ για πολλαπλές παραβιάσεις προστασίας προσωπικών δεδομένων. Στην εταιρεία Carrefour France επιβλήθηκε πρόστιμο 2,25 εκατ. ευρώ, ενώ στην θυγατρική της Τράπεζα Carrefour Banque το ποσό των 800,000 ευρώ.

Πιο συγκεκριμένα, η γαλλική αρχή προστασίας δεδομένων,  CNIL, επέβαλλε  το  πρόστιμο στις δύο εταιρείες του Ομίλου Carrefour για παραβιάσεις του GDPR πολλών ειδών, όπως η υποχρέωση ενημέρωσης των φυσικών προσώπων, η χρήση cookies, ο περιορισμός του χρόνου  διατήρησης δεδομένων, η υποχρέωση διευκόλυνσης της άσκησης δικαιωμάτων των υποκειμένων και η μη εκπλήρωση των αιτημάτων άσκησης δικαιωμάτων.

Μετά από καταγγελίες, η CNIL διενήργησε ελέγχους στις εταιρείες από το Μάϊο έως και τον Ιούλιο του 2019.

Η CNIL διαπίστωσε ότι οι πληροφορίες που δίνονταν στους χρήστες των δικτυακών τόπων των εταιρειών δεν ήταν εύκολα προσβάσιμες ή κατανοητές και δεν περιλάμβαναν πλήρεις πληροφορίες σχετικά με τη διάρκεια διατήρησης των δεδομένων. Οι πληροφορίες ήταν επίσης ανεπαρκείς όσον αφορά τις μεταφορές δεδομένων εκτός της Ευρωπαϊκής Ένωσης και τη νομική βάση για την επεξεργασία τους.

Επιπλέον, η CNIL διαπίστωσε ότι η Carrefour είχε τοποθετήσει αυτόματα cookies στις μηχανές των χρηστών πριν δώσουν τη συγκατάθεσή τους. Ανέφερε επίσης ότι η Carrefour France δεν είχε εφαρμόσει τις περιόδους διατήρησης δεδομένων που είχε ορίσει, διατηρώντας δεδομένα για περισσότερους από 28 εκατομμύρια πελάτες που ήταν ανενεργοί για πέντε έως 10 χρόνια. Η CNIL έκρινε επίσης την τετραετή περίοδο της πολιτικής των εταιρειών για τη διατήρηση δεδομένων ως «υπερβολική».

Η Carrefour απαιτούσε απόδειξη ταυτότητας για την άσκηση δικαιωμάτων δεδομένων, ένα μέτρο που κρίθηκε από την CNIL ως «αδικαιολόγητο». Παράλληλα, όπως ανακάλυψε η γαλλική αρχή,  η εταιρεία δεν επεξεργάστηκε τα αιτήματα για άσκηση δικαιωμάτων εντός χρονικών ορίων, δεν απάντησε σε πολλά αιτήματα ατόμων που επιθυμούσαν να έχουν πρόσβαση στα δεδομένα τους και επίσης σε αρκετές περιπτώσεις δεν διέγραψε δεδομένα όταν ζητήθηκε.

Η CNIL ανακάλυψε τέλος ότι η Carrefour Banque ενώ  ανέφερε ότι καμία άλλη πληροφορία εκτός από το όνομα και τη διεύθυνση ηλεκτρονικού ταχυδρομείου δεν θα κοινοποιείται στην “Carrefour loyalty” όταν ένας πελάτης προσυπογράφει το πρόγραμμα πίστωσης της κάρτας pass, στην πραγματικότητα, διαβίβαζε και άλλα δεδομένα, συμπεριλαμβανομένης της ταχυδρομικής διεύθυνσης, του αριθμού τηλεφώνου και του αριθμού των παιδιών σε κάθε νοικοκυριό.

Η CNIL ωστόσο, αποφάσισε να μην εκδώσει ασφαλιστικά μέτρα, εφόσον εκτίμησε ότι η Carrefour έκανε αξιοσημέιωτες  προσπάθειες συμμόρφωσης για όλες τις παραβιάσεις.

Από τότε που αυτές αποκαλύφθηκαν, η Carrefour δέσμευσε μεγάλο αριθμό πόρων για να εξασφαλίσει τη συμμόρφωση, δήλωσε η CNIL.

Ως εκ τούτου, η εταιρεία, τροποποίησε τις πληροφορίες και τις ειδοποιήσεις στις ιστοσελίδες της, άλλαξε τον τρόπο με τον οποίο χρησιμοποιεί τα cookies, διέγραψε παλιά δεδομένα, ανέπτυξε σημαντικούς ανθρώπινους και οργανωτικούς πόρους για να ανταποκριθεί σε όλα τα αιτήματα που έλαβε εντός περιόδου μικρότερης του ενός μηνός και αναθεώρησε πλήρως τις ηλεκτρονικές διαδικασίες συνδρομής της για να ενημερωθούν με ακρίβεια τα φυσικά πρόσωπα σχετικά με  για τις μεταβιβάσεις των δεδομένων τους.

Η ΝΕΑ ΑΠΟΣΤΟΛΗ ΤΟΥ TIM BERNERS-LEE: ΑΠΟΚΕΝΤΡΩΣΗ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥ

Ο πατέρας του World Wide Web (www) θέλει να αποκαταστήσει τον έλεγχο των ανθρώπων στα προσωπικά τους δεδομένα. 

Η Εταιρεία Inrupt, η start-up που ιδρύθηκε από τον Tim Berners-Lee, ιδρυτή του World Wide Web, ανακοίνωσε μια εταιρική έκδοση της πλατφόρμας απορρήτου Solid, η οποία επιτρέπει σε μεγάλους οργανισμούς και κυβερνήσεις να δημιουργούν εφαρμογές που δίνουν στους χρήστες τον πλήρη έλεγχο των δεδομένων τους.

Ο Berners-Lee πάντα πίστευε ότι το διαδίκτυο πρέπει να αποτελεί έναν ελεύθερο και ανοιχτό χώρο για όλους, ωστόσο οι μεγάλοι οργανισμοί έχουν αναπτυχθεί τόσο πολύ μέσα στα τελευταία 20 χρόνια που βγάζουν πλέον τα χρήματά τους χρησιμοποιώντας τα δεδομένα μας. Με την νέα αυτή εφαρμογή ανοιχτού λογισμικού, την Solid, επιθυμεί να επαναφέρει τους ανθρώπους στην κυριαρχία των δεδομένων τους.

Όπως έχει πει και ο ίδιος «Το διαδίκτυο έχει εξελιχθεί σε μια μηχανή ανισότητας και διχασμού, ταλαντευόμενο από ισχυρές δυνάμεις που το χρησιμοποιούν για τις δικές τους ατζέντες. Σήμερα, πιστεύω ότι έχουμε φτάσει σε ένα κρίσιμο σημείο ανατροπής και ότι αυτή η ισχυρή αλλαγή προς το καλύτερο είναι δυνατή – και απαραίτητη».

Πράγματι, δεν θα μπορούσε να είναι καλύτερη η χρονική στιγμή. Τα τρία τελευταία χρόνια ο κόσμος κατακλύζεται από σκάνδαλα παραβίασης προσωπικών δεδομένων. Από το σκάνδαλο της Cambridge Analytica, η οποία χρησιμοποίησε τα δεδομένα των χρηστών του Facebook για την προεκλογική καμπάνια του Donald Trump, την τεράστια διαρροή προσωπικών δεδομένων της British Airways, έως την περίπτωση του κολοσσού H&M που επενέβαινε κατάφορα στην ιδιωτική ζωή των εργαζομένων της. 

  • Πώς θα λειτουργεί;

Η βασική ιδέα πίσω από αυτήν την προσέγγιση είναι ότι οι χρήστες ελέγχουν τα δεδομένα τους σε μονάδες αποθήκευσης (οντότητες) στο διαδίκτυο που ονομάζονται Personal Online Data Stores ή αλλιώς “Pods”.

Όπως εξηγεί ο Bruce Schneier, Chief of Security Architecture της Inrupt, τα δεδομένα σας βρίσκονται σε ένα Pod που ελέγχεται από εσάς τους ίδιους. Όσα δεδομένα δημιουργούνται από τον εξοπλισμό σας – τον υπολογιστή σας, το τηλέφωνό σας, το IoT σας- είναι γραμμένα στο Pod σας. Παρέχετε έτσι εξουσιοδοτημένη πρόσβαση σε αυτό το Pod σε όποιον θέλετε και για οποιονδήποτε λόγο επιθυμείτε. Τα δεδομένα σας δεν βρίσκονται πλέον σε ένα δισεκατομμύριο μέρη στο διαδίκτυο ή σε μια τοποθεσία για την οποία δεν έχετε την παραμικρή ιδέα, και ελέγχονται πλήρως από εσάς. «Είναι δικά σας!» Εάν θέλετε η ασφαλιστική σας εταιρεία να έχει πρόσβαση στα δεδομένα φυσικής σας κατάστασης, τα παραχωρείτε μέσω του Pod σας. Εάν θέλετε οι φίλοι σας να έχουν πρόσβαση στις φωτογραφίες των διακοπών σας, τις παραχωρείτε μέσω του Pod σας. Εάν θέλετε ο θερμοστάτης σας να μοιραστεί δεδομένα με το κλιματιστικό σας ή το έξυπνο σπίτι σας, δίνετε και στα δύο πρόσβαση μέσω του Pod σας.

Η πλήρης αποκέντρωση θα ήταν ιδανική. Το Pod όλων των χρηστών θα βρίσκεται σε έναν υπολογιστή που διαθέτουν και θα εκτελείται στο δίκτυό τους. Όμως αυτό ίσως να μην είναι ρεαλιστικό στην καθημερινή ζωή. Ακριβώς όπως μπορείτε θεωρητικά να εκτελέσετε τον δικό σας email server, αλλά στην πραγματικότητα τον αναθέτετε σε τρίτους στην Google, είναι πιθανό να αναθέσετε το Pod σας στις ίδιες αυτές εταιρείες. Ωστόσο, ακόμα κι αν παραδώσετε το Pod σας σε κάποια εταιρεία, θα είναι σαν να φιλοξενεί απλά το domain name σας ή να διαχειρίζεται τον αριθμό του τηλεφώνου σας. Αν δεν σας αρέσει ο τρόπος που το διαχειρίζεται, μπορείτε πάντα να μετακινήσετε το Pod σας – όπως ακριβώς μπορείτε να μετακινηθείτε σε διαφορετική εταιρεία κινητής τηλεφωνίας. Αυτό θα δώσει στους χρήστες πολύ περισσότερη δύναμη.

Η διαφορά μεταξύ της Solid και των πιο συμβατικών εφαρμογών διαδικτύου ή τηλεφώνου είναι ότι ο χρήστης αποφασίζει ποιος θα έχει πρόσβαση σε αυτές τις πληροφορίες του, ενώ ο κάτοχος της εφαρμογής πρέπει να ζητήσει άδεια από τον χρήστη και ο τελευταίος να την παραχωρήσει ρητά και υπό προϋποθέσεις.

  • Θα συμβαδίσουν όμως οι Big Tech;

Σε μια συνέντευξή του το 2018, ο Berners-Lee κατέστησε σαφές ότι τεχνολογικοί γίγαντες όπως η Google, το Facebook και η Microsoft είναι σχεδόν απίθανο να προτιμήσουν έναν αποκεντρωμένο διαδίκτυο όπου τα δεδομένα δεν διατηρούνται πλέον σε δικές τους υπερμεγέθεις εγκαταστάσεις (“silos”) που ελέγχονται από τους ίδιους.

Χαρακτηριστικά είπε: «Δεν μιλάμε με τη Facebook και την Google σχετικά με το εάν θα επιβάλουμε ή όχι μια πλήρη αλλαγή…Δεν ζητάμε την άδειά τους.»

Ο Bruce Schneier έθεσε επίσης εξαιρετικά το ζήτημα:

«Η οικοδόμηση μιας ασφαλούς τεχνικής υποδομής αφορά σε μεγάλο βαθμό την πολιτική, αλλά υπάρχει επίσης ένα κύμα τεχνολογίας που μπορεί να στρέψει τα πράγματα σε διαφορετική κατεύθυνση. Η Solid είναι μία από αυτές τις τεχνολογίες. Απομακρύνει το διαδίκτυο από την υπερβολικά συγκεντρωτική δύναμη των μεγάλων εταιρειών και των κυβερνήσεων, κατευθύνοντάς το σε πιο ορθολογικές κατανομές εξουσίας.

Έτσι, έχουμε μεγαλύτερη ελευθερία, αυξημένη ιδιωτικότητα και περισσότερη ελευθερία για όλους.»

 

3 ΠΡΟΣΤΙΜΑ GDPR ΜΕΣΑ ΣΕ ΕΝΑ ΜΗΝΑ

  • Το πρόστιμο σε Νοσοκομείο

Η νορβηγική Αρχή Προστασίας Δεδομένων (“Datatilsynet”) ανακοίνωσε, στις 27 Οκτωβρίου 2020, ότι επέβαλε πρόστιμο στο Νοσοκομείο Østfold HF 750.000 νοκ (περίπου 69.000 ευρώ) για την αποθήκευση δεδομένων υγείας για παρατεταμένο χρονικό διάστημα χωρίς την εφαρμογή επαρκών μέτρων για την ασφαλή διατήρηση αυτών των δεδομένων. Συγκεκριμένα, η Datatilsynet σημείωσε ότι υπήρξε παραβίαση που αφορούσε ευαίσθητες πληροφορίες ασθενών που εμπίπτουν σε ειδικές κατηγορίες προσωπικών δεδομένων και ότι η διαρροή επηρέασε ασθενείς που ετοιμάζονταν να πάρουν εξιτήριο  από το νοσοκομείο. Επιπλέον, η Datatilsynet ανέφερε ότι το νοσοκομείο δεν είχε μηχανισμούς ελέγχου πρόσβασης στο σημείο όπου φυλάσσονταν ιατρικές αναφορές και αρχεία ασθενών , ενώ διαπίστωσε ότι το Νοσοκομείο Østfold δεν είχε καθιερώσει κάποιο σύστημα για την πρόληψη μελλοντικών παραβιάσεων και ότι δεν είχε εξασφαλίσει την τήρηση διαδικασιών εσωτερικού ελέγχου όσον αφορά την πρόσβαση των εργαζομένων σε αρχεία, την αποθήκευση και τη διαγραφή τους από τον διακομιστή. Ως εκ τούτου, η Datatilsynet επέβαλε το πρόστιμο και διέταξε το Νοσοκομείο να παρακολουθεί τη συμμόρφωση με τις εσωτερικές διαδικασίες για την προστασία προσωπικών δεδομένων, ιδιαίτερα όταν αυτά είναι ευαίσθητα προσωπικά δεδομένα.

  • Το πρόστιμο σε Εταιρεία

Η νορβηγική Αρχή Προστασίας Δεδομένων επέβαλε επίσης  στην Odin Flissenter AS διοικητικό πρόστιμο ύψους 13.905 ευρώ (150.000 νοκ) για τη διενέργεια πιστωτικού ελέγχου ατομικής επιχείρησης χωρίς να διαθέτει νόμιμη βάση για την επεξεργασία.

Η εταιρεία Odin Flissenter πραγματοποιήσε πιστωτικό έλεγχο σε ατομική επιχείρηση που δεν είχε σχέση με τον πελάτη της ή οποιαδήποτε άλλη σύνδεση με την εταιρεία.

Οι πιστωτικές πληροφορίες σχετικά με μια ατομική επιχείρηση θεωρούνται προσωπικά δεδομένα, καθώς ο εταίρος ταυτίζεται άμεσα με την επιχείρηση.

Οι αξιολογήσεις πιστωτικού ελέγχου βασίζονται σε μια συλλογή προσωπικών δεδομένων και αποκαλύπτουν το κατά πόσο ένα άτομο ή μια ατομική επιχείρηση θα είναι σε θέση να ανταπεξέλθει στις οικονομικές του υποχρεώσεις.

Ως εκ τούτου, είναι έντονος ο προσωπικός και ιδιωτικός χαρακτήρας των δεδομένων, εφόσον συνδέονται στενά με την περιουσία του ιδιοκτήτη της ατομικής επιχείρησης. Εν προκειμένω αξίζει να σημειωθεί ότι τα δεδομένα συλλέχθηκαν για σκοπούς που δεν εμπίπτουν στην επιχειρηματική δραστηριότητα της εταιρείας.

  • Το πρόστιμο στον Δήμο

Το τρίτο πρόστιμό του μηνός Οκτωβρίου ύψους περίπου 276.000 ευρώ (3 εκατ.κορώνες) εξέδωσε η νορβηγική αρχή εναντίον δήμου, καθώς δεν είχαν ληφθεί τα απαραίτητα μέτρα προστασίας για την ασφάλεια των προσωπικών δεδομένων στο σύστημα επικοινωνίας μεταξύ σχολείου και σπιτιών.

Πιο συγκεκριμένα, τον Οκτώβριο του 2019, η Αρχή Προστασίας Δεδομένων ενημερώθηκε για παραβίαση προσωπικών δεδομένων από τον Δήμο Μπέργκεν σχετικά με το νέο εργαλείο επικοινωνίας (με την ονομασία “Vigilo”) μεταξύ σχολείου και σπιτιών του Δήμου. Το Vigilo περιέχει μια ενότητα όπου το σχολείο και οι γονείς μπορούν να επικοινωνούν μέσω μιας πύλης ή μιας εφαρμογής. Ο Δήμος δεν είχε θεσπίσει ούτε κοινοποίησε τις απαραίτητες κατευθυντήριες γραμμές για τη διασφάλιση των προσωπικών πληροφοριών των παιδιών και των γονέων με εμπιστευτική διεύθυνση πριν τεθεί σε χρήση το εργαλείο.

Στον Δήμο του Μπέργκεν επεβλήθη τελικά διοικητικό πρόστιμο ύψους 276.000 ευρώ. Το πρόστιμο επιβλήθηκε επειδή ο Δήμος δεν είχε εφαρμόσει τεχνικά και οργανωτικά μέτρα για την επίτευξη επαρκούς επιπέδου ασφάλειας με αποτέλεσμα να μην τηρείται η αρχή της εμπιστευτικότητας και ακεραιότητας.

Παρατηρέιται έντονη κινητικότητα της νορβηγικής αρχής που στράφηκε τόσο κατά του δημόσιου όσο και κατά του ιδιωτικού τομέα χωρίς να κάνει διακρίσεις.

Οι εξελίξεις αυτές αποκαλύπτουν ότι ο ΓΚΠΔ εφαρμόζεται και επηρεάζει σημαντικά όλους τους φορείς που διενεργούν επεξεργασία προσωπικών δεδομένων. Αναμένουμε και από την ελληνική αρχή να ακολουθήσει, για αυτό και τα μέτρα πρόληψης και συμμόρφωσης με τον ΓΚΠΔ κρίνεται σκόπιμο να βρίσκονται ανά πάσα στιγμή σε καλό επίπεδο.

Top