υγείας

ΔΕΔΟΜΕΝΑ ΥΓΕΙΑΣ: ΠΑΡΑΒΙΑΣΕΙΣ ΚΑΙ ΣΗΜΑΝΤΙΚΑ ΠΡΟΣΤΙΜΑ

Οι Ευρωπαϊκές Αρχές Προστασίας Δεδομένων έχουν ήδη επιβάλει σημαντικά πρόστιμα που αφορούν τα δεδομένα υγείας, παρότι διανύουμε ακόμη τους πρώτους μήνες του 2024. Με αφορμή την Παγκόσμια Ημέρα Υγείας, στις 7 Απριλίου 2024, σας παρουσιάζουμε τα πιο σημαντικά πρόστιμα που έχουν επιβληθεί εντός του 2024 αναφορικά με την επεξεργασία προσωπικών δεδομένων υγείας.

Πρόστιμο 300.000 ευρώ σε εταιρεία ιατρικών τεχνολογιών για παραβίαση προσωπικών δεδομένων σε emails

Εταιρεία ιατρικών τεχνολογιών απέστειλε ενημερωτικό email στους χρήστες μίας εφαρμογής, για την καταγραφή και παρακολούθηση των επιπέδων γλυκόζης. Το email αφορούσε  τεχνικά ζητήματα της εφαρμογής και απεστάλη σε όλους τους χρήστες, εντός και εκτός ΕΕ. Μάλιστα, η Εταιρεία απέστειλε τα emails,  χωρίς να ρυθμρίσει την «κρυφή κοινοποίηση». Επομένως, οι ηλεκτρονικές διευθύνσεις 5.000 χρηστών βρέθηκαν εκτεθειμένες, καθώς ήταν ορατές σε όλους τους παραλήπτες. 

Η ιταλική αρχή προστασίας ενημερώθηκε από την εταιρεία για το συμβάν και διαπίστωσε παραβίαση του άρθρου 9 του ΓΚΠΔ λόγω μη εξουσιοδοτημένης κοινοποίησης διευθύνσεων ηλεκτρονικού ταχυδρομείου ατόμων που πιθανόν να πάσχουν από διαβητικές παθήσεις. Η ιταλική αρχή διαπίστωσε ότι η Εταιρεία παραβίασε και τα άρθρα 5 και 32 του ΓΚΠΔ, καθώς τα τεχνικά και οργανωτικά μέτρα που είχε λάβει δεν ήταν επαρκή και κατάλληλα, ώστε να διασφαλίσουν την ασφαλή επεξεργασία των δεδομένων.Για τους λόγους αυτούς, επιβλήθηκε στην Εταιρεία διοικητικό πρόστιμο 300.000 ευρώ.

Πρόστιμο 201.232 ευρώ σε νοσοκομείο για μη επίβλεψη του εκτελούντος την επεξεργασία

Με μία πρωτοφανή απόφαση, η δανική αρχή προστασίας δεδομένων επέβαλε πρόστιμο σε ιδιωτικό νοσοκομείο, για μη επίβλεψη των εκτελούντων του. Ειδικότερα, η δανική αρχή, κατόπιν ελέγχου, διαπίστωσε ότι οι εκτελούντες την επεξεργασία δεν είχαν ελεγχθεί εδώ και χρόνια από το νοσοκομείο ως προς την συμφωνία για την συμμόρφωσή τους με τον ΓΚΠΔ.  Η αρχή έκρινε, ότι  το νοσοκομείο υποχρεούται να διασφαλίζει ότι τα προσωπικά δεδομένα τυγχάνουν σύννομης και θεμιτής επεξεργασίας από τους εκτελούντες την επεξεργασίας.

Η δανική αρχή προστασίας δεδομένων υπογραμμίζει ότι η αποτελεσματική εποπτεία των εκτελούντων την επεξεργασία δεδομένων υπερβαίνει τη σύναψη συμφωνίας προστασίας δεδομένων και απαιτεί ενεργή παρακολούθηση και μετά την υπογραφή. Μάλιστα, η ίδια αρχή έχει εκδώσει από το 2021 μία σειρά οδηγιών για την επίβλεψη των εκτελούντων την επεξεργασία. Γι’ αυτούς τους λόγους, επιβλήθηκε στο νοσοκομείο διοικητικό πρόστιμο ύψους 1.5 εκατομμυρίου κορώνες Δανίας (201.232 ευρώ).

Πρόστιμο 20.000 ευρώ σε ιατρό για την τοποθέτηση συνταγογραφήσεων σε γραμματοθυρίδα

Ιταλός ιατρός προκειμένου να αποφύγει τις επισκέψεις των ασθενών του για την παραλαβή των συνταγογραφήσεων τους, τις τοποθετούσε σε θυρίδα έξω από το ιατρείο του. Οι συνταγογραφήσεις δεν περιέχονταν σε φάκελο, με αποτέλεσμα κάθε ενδιαφερόμενος να πρέπει να ανατρέξει σε όλες τις συνταγογραφήσεις, προκειμένου να εντοπίσει τη δική του. Κατά την έρευνα της ιταλικής αρχής προσωπικών δεδομένων εντοπίστηκε ότι η θυρίδα περιείχε 67 συνταγογραφήσεις διαφορετικών ασθενών.

Η ιταλική αρχή προστασίας δεδομένων, Garante, τόνισε πως για λόγους διαφύλαξης της εμπιστευτικότητας του εγγράφου, η συλλογή των συνταγογραφήσεων από τους ασθενείς είναι δυνατή, εφόσον βρίσκονται σε κλειστό φάκελο. Η ιταλική αρχή  διαπίστωσε την παραβίαση των άρθρων 5, 9 και 32 ΓΚΠΔ και επέβαλε στον ιατρό το διοικητικό πρόστιμο των 20.000 ευρώ.

Πρόστιμο 8.000 ευρώ για ανάρτηση της ρινοπλαστικής στα social media

Κέντρο αισθητικής πλαστικής χειρουργικής στην Ιταλία ανήρτησε τόσο κατά τη διάρκεια ρινοπλαστικής επέμβασης όσο και με το πέρας αυτής, οπτικοακουστικό υλικό στο Instagram, το οποίο περιέχει δεδομένα υγείας του υποκειμένου και αποκαλύπτεται το πρόσωπο του. Παρότι το υποκείμενο είχε συγκαταθέσει στην ανάρτηση υλικού σε μέσα κοινωνικής δικτύωσης, για σκοπούς επικοινωνιακούς, επιστημονικούς και προωθητικούς, η ιταλική αρχή έκρινε ότι η ενημέρωση που είχε προηγηθεί της συγκατάθεσης ήταν πλημμελής, γενική και ανεπαρκής. Σύμφωνα με την ιταλική αρχή, όταν η συγκατάθεση δεν αφορά την επεξεργασία των δεδομένων που σχετίζονται με την παροχή της υπηρεσίας, αλλά εξυπηρετεί άλλους σκοπούς, θα πρέπει να είναι ρητή, συγκεκριμένη και εν πλήρει επιγνώσει.

Γι’ αυτό το λόγο, η ιταλική αρχή προστασίας δεδομένων, ύστερα από καταγγελία του υποκειμένου, διαπίστωσε  παραβίαση των άρθρων 5 παρ.1α, 6, 9, 12 και 13 του ΓΚΠΔ και επέβαλε διοικητικό πρόστιμο 8.000 ευρώ στο κέντρο αισθητικής πλαστικής χειρουργικής, αλλά και το μέτρο της τροποποίησης της φόρμας ενημέρωσης και συγκατάθεσης σύμφωνα με τις οδηγίες της.

Από τα παραπάνω διαπιστώνουμε ότι η διαφύλαξη των δεδομένων υγείας είναι ιδιαίτερα σημαντική. Οι πάροχοι ιατρικών υπηρεσιών θα πρέπει να είναι πολύ προσεκτικοί όταν επεξεργάζονται ευαίσθητα προσωπικά δεδομένα, καθώς  απλές, άλλοτε συνηθισμένες, πρακτικές μπορεί να αποτελέσουν παραβιάσεις.

Πηγές:

GDPRhub

BioSlice Blog | Arnold & Porter LLP | European Life Sciences

News | DataGuidance

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

ΗΜΕΡΑ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 2024

Ημέρα Προστασίας Προσωπικών Δεδομένων

Η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων πλησιάζει! Στις  28 Ιανουαρίου θα εορτάσουμε την 18η επέτειο από την καθιέρωσή της. Ωστόσο, έχουμε αναρωτηθεί τον λόγο που η αξία των  προσωπικών  δεδομένων αυξάνεται διαρκώς;

Η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων έχει σκοπό να αφυπνίσει και να ευαισθητοποιήσει τους πολίτες, σχετικά με την προστασία των πληροφοριών τους και της ιδιωτικότητάς τους. Παρά το γεγονός ότι η εφαρμογή του GDPR έχει τεθεί σε ισχύ από τον Μάιο του 2018, τα φαινόμενα παραβίασης προσωπικών δεδομένων ακολουθούν να βρίσκονται σε ανοδική πορεία. Μόλις το 1ο εξάμηνο του 2023 τα πρόστιμα για τον GDPR ξεπέρασαν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Επίσης, παρατηρείται ότι σε μεγάλο βαθμό οι οργανισμοί δεν είναι σε θέση να βεβαιώσουν την πλήρη συμμόρφωσή τους με τον GDPR.

Έρευνα για την επιβολή προστίμων

Οι αρμόδιες αρχές για την προστασία των προσωπικών δεδομένων φαίνεται να βρίσκονται σε εγρήγορση. Σύμφωνα με έρευνα για την επιβολή  προστίμων για παραβιάσεις προσωπικών δεδομένων, η Ελλάδα κατατάχθηκε στην 6η θέση μεταξύ των χωρών που έχουν βάλει τα περισσότερα πρόστιμα για τον GDPR, τα τελευταία 5 έτη.

Παραθέτουμε τις 10 χώρες, που έχουν επιβάλει τα περισσότερα πρόστιμα για την παραβίαση προσωπικών δεδομένων τα τελευταία 5 έτη:

  1. Ισπανία επέβαλε 651 πρόστιμα
  2. Ιταλία επέβαλε 265 πρόστιμα
  3. Γερμανία επέβαλε 148 πρόστιμα
  4. Ρουμανία επέβαλε 144 πρόστιμα
  5. Ουγγαρία επέβαλε 67 πρόστιμα
  6. Ελλάδα επέβαλε 57 πρόστιμα
  7. Νορβηγία και Πολωνία επέβαλαν 50 πρόστιμα
  8. Βέλγιο επέβαλε 39 πρόστιμα
  9. Κύπρος επέβαλε 37 πρόστιμα

Σύμφωνα με την εν λόγω έρευνα, τα πρόστιμα που επιβλήθηκαν αφορούσαν την ανεπαρκή νομιμοποιητική βάση για την επεξεργασία δεδομένων, την μη συμμόρφωση με τις γενικές αρχές επεξεργασίας δεδομένων. Επίσης, οι οργανισμοί φαίνεται να μην λάμβαναν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών. Ακόμη, τα πρόστιμα που επιβλήθηκαν αφορούσαν την ανεπαρκή εκπλήρωση της υποχρέωσης για ενημέρωση των υποκειμένων των δεδομένων, την ανεπαρκή εκπλήρωση των δικαιωμάτων των υποκειμένων των δεδομένων, την ανεπαρκή συνεργασία με την Εποπτική Αρχή, την ανεπαρκή εκπλήρωση των υποχρεώσεων γνωστοποίησης παραβίασης δεδομένων, την ανεπαρκή συμμετοχή του Υπεύθυνου Προστασίας Δεδομένων. Τέλος, διαπιστώθηκε ότι οι Υπεύθυνοι Επεξεργασίας δεδομένων δεν υπογράφουν με τους Εκτελούντες την Επεξεργασία Σύμβαση Επεξεργασίας Δεδομένων (ΣΕΔ).

5 TIPS για την προστασία των προσωπικών σας δεδομένων

Όπως παρατηρούμε παρά το ότι ο GDPR έχει τεθεί σε εφαρμογή πάνω από 5 έτη, διαπιστώνουμε ότι τα πρόστιμα δεν μειώνονται. Αντιθέτως, επιβάλλονται για ζητήματα που θέτουν σε κίνδυνο την ιδιωτικότητα του ατόμου. Όμως είναι σημαντικό να κατανοήσουμε ότι η προστασία των προσωπικών μας δεδομένων αρχίζει από την δική μας πλευρά. Μάλιστα, η ΑΠΔΠΧ προτείνει τρόπους για να διατηρούμε τον έλεγχο των προσωπικών μας δεδομένων.

Σας παραθέτουμε 5 tips για τον έλεγχο των προσωπικών σας δεδομένων:

  1. Σκεφτόμαστε πριν αποκαλύψουμε τα προσωπικά δεδομένα μας σε τρίτον.
  2. Διαβάζουμε την πολιτική ιδιωτικότητας στις ιστοσελίδες, που επισκεπτόμαστε.
  3. Μην διστάσετε να ενημερωθείτε για την επεξεργασία των προσωπικών σου δεδομένων.
  4. Μη χρησιμοποιείτε εύκολα passwords.
  5. Κρατείστε τη συσκευή σας ασφαλή, χρησιμοποιώντας firewall και antivirus.

Εσείς πόσα γνωρίζετε για την προστασία των προσωπικών δεδομένων;

Μπορείτε να συμπληρώσετε το QUIZ για να μάθετε!

Σας ευχόμαστε μία ασφαλή καθημερινότητα!

επιτευγματα και προκλήσεις

Τα επιτεύγματα του 2023 και οι αναμενόμενες προκλήσεις στις υπηρεσίες GDPR για το 2024

Το 2023 οδεύει προς το τέλος του, αφήνοντας υλικό προς συζήτηση και προς μελλοντική επεξεργασία. Όπως διαπιστώνουμε, τα δεδομένα είναι απαραίτητα και πολύτιμα «περιουσιακά στοιχεία» για τις επιχειρήσεις. Ας δούμε τα επιτεύγματα του 2023 στον τομέα της προστασίας των προσωπικών δεδομένων και τις αναμενόμενες προκλήσεις, που θα συναντήσουμε κατά τη διάρκεια του 2024.

2023: Επιτεύγματα και ορόσημα στη συμμόρφωση με τον GDPR 

 1) Διατλαντική Διαβίβαση Δεδομένων – Απόφαση  Ευρωπαϊκής Επιτροπής σχετικά με τις ΗΠΑ

Στις 10 Ιουλίου του 2023, η Ευρωπαϊκή Επιτροπή εξέδωσε  νέα απόφαση σχετικά με την διατλαντική διαβίβαση στις ΗΠΑ. Ειδικότερα, η εν λόγω απόφαση, κατόπιν τροποποιήσεων στην εθνική νομοθεσία των ΗΠΑ, εξασφαλίζει  επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα που διαβιβάζονται από την ΕΕ σε εταιρείες των ΗΠΑ. Οι πολίτες της ΕΕ θα επωφεληθούν με διάφορες δυνατότητες προσφυγής, σε περίπτωση που τα δεδομένα τους αποτελέσουν αντικείμενο εσφαλμένης διαχείρισης από εταιρείες των ΗΠΑ. Επιπλέον, οι πολίτες της ΕΕ θα έχουν πρόσβαση σε ανεξάρτητο και αμερόληπτο μηχανισμό προσφυγής, ο οποίος περιλαμβάνει το νεοσυσταθέν Δικαστήριο Ελέγχου της Προστασίας Δεδομένων (Data Protection Review Court).

2) Νέο μοντέλο επιβολής του GDPR σε διασυνοριακές υποθέσεις (αποκεντρωμένο μοντέλο επιβολής του GDPR)

Στις  4 Ιουλίου του 2023, η Ευρωπαϊκή Επιτροπή, προτείνει για πρώτη φορά  νέους κανόνες, με σκοπό τον εξορθολογισμό της συνεργασίας μεταξύ των Αρχών Προστασίας Δεδομένων των κρατών μελών της ΕΕ (DPAs). Στόχος των νέων κανόνων είναι η ορθή  εφαρμογή του GDPR σε διασυνοριακές υποθέσεις. Ο GDPR με αυτόν τον τρόπο υιοθετεί για πρώτη φορά ένα αποκεντρωμένο μοντέλο επιβολής. Συνεπώς, σε περιπτώσεις με διασυνοριακά στοιχεία, ο GDPR απαιτεί την συνεργασία των εμπλεκόμενων Αρχών Προστασίας Δεδομένων  σύμφωνα με το “one-stop-shop” του GDPR μέσω μηχανισμών συνεργασίας και συνέπειας.

3) Συμφωνία – Ορόσημο τον Δεκέμβριο του 2023 για εναρμόνιση της Τεχνητής Νοημοσύνης (ΑΙ) με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Μέσα σε ένα ταχέως εξελισσόμενο τεχνολογικό περιβάλλον η Τεχνητή Νοημοσύνη φαίνεται να μας απασχόλησε το 2023 και θα συνεχίσει να μας απασχολεί το 2024, αλλά και τα επόμενα χρόνια. Τον Δεκέμβριο του 2023, το Ευρωπαϊκό Συμβούλιο προχώρησε πρώτη φορά σε προσωρινή συμφωνία σχετικά με την πρόταση εναρμονισμένων κανόνων για την τεχνητή νοημοσύνη (AI).

Το σχέδιο κανονισμού, στοχεύει να διασφαλίσει ότι τα συστήματα τεχνητής νοημοσύνης που διατίθενται στην ευρωπαϊκή αγορά και χρησιμοποιούνται στην ΕΕ είναι ασφαλή και σέβονται τα θεμελιώδη δικαιώματα και τις αξίες της ΕΕ. Αυτή η πρόταση ορόσημο στοχεύει επίσης να τονώσει τις επενδύσεις και την καινοτομία στην τεχνητή νοημοσύνη στην Ευρώπη. Η χρήση της Τεχνητής Νοημοσύνης θα εξακολουθεί να αποτελεί μία πρόκληση για τα επόμενα χρόνια.

4)Ανοδική πορεία προστίμων το 2023

Κατά τη διάρκεια του 2023, προέκυψαν  ζητήματα, τα οποία δεν μπορούμε να παραλείψουμε. Από τα σημαντικότερα είναι η ανοδική πορεία  των προστίμων σχετικά με τον GDPR. Μάλιστα το εν λόγω ζήτημα τεκμηριώνεται από ποικίλες στατιστικές μελέτεςκατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί και τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία τουenforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

 

Οι  προκλήσεις στον τομέα των προσωπικών δεδομένων για το  έτος 2024

1)Εκτόξευση του όγκου δεδομένων για το 2024

Η  ασφάλεια των προσωπικών δεδομένων αποτελεί ακρογωνιαίο λίθο για τις σύγχρονες επιχειρήσεις εντός και εκτός Ευρώπης, καθώς η  διαχείρισή τους  είναι ζωτικής σημασίας για την εμπορική, την οικονομική και για κάθε είδους επιχειρηματική τους δραστηριότητα. Κρίσιμο ζήτημα για τις επιχειρήσεις, είναι η αποδοτική διαχείριση του μεγάλου όγκου δεδομένων, ο οποίος  αναμένεται   να εκτοξευτεί μέσα στο 2024!

Η εν λόγω αύξηση του όγκου δεδομένων καθιστά μεγαλύτερη την  πιθανότητα παραβίασης  τους.  Αυτό έχει ως αποτέλεσμα να απαιτείται νέα προσαρμογή του GDPR, ώστε να ληφθούν υπόψιν αυτοί οι νέοι και πιο σύνθετοι κίνδυνοι παραβιάσεων που ενδέχεται να προκύψουν  το 2024. Το θέμα των παραβιάσεων των προσωπικών δεδομένων  είναι  φλέγον, συμπέρασμα το οποίο επαληθεύεται και από την πρόσφατη μελέτη της IBM , σύμφωνα με την οποία το μέσο κόστος μιας παραβίασης δεδομένων είναι 4,85 εκατομμύρια δολάρια.

2) Μεγάλη αύξηση του αριθμού επιχειρήσεων που θα χρησιμοποιούν την τεχνολογία Cloud ως μέσο αποθήκευσης δεδομένων για το 2024

Ήδη από το  2023, το 45,2% των επιχειρήσεων που δραστηριοποιούνται στην ΕΕ αγόρασαν υπηρεσίες υπολογιστικού νέφους Cloud Computing Services (υπηρεσίες που χρησιμοποιούνται μέσω του Internet για πρόσβαση σε λογισμικό, υπολογιστική ισχύ, χωρητικότητα αποθήκευσης κ.λπ.), γεγονός το οποίο μαρτυρά την αυξητική τάση και ανάγκη των επιχειρήσεων να χρησιμοποιούν στην καθημερινή λειτουργία τους την cloud τεχνολογία. Πρόκειται λοιπόν για αύξηση 4,2 ποσοστιαίων μονάδων σε σύγκριση με το 2021.

Σύμφωνα με τον επίσημο ιστότοπο της Ε.Ε, η Ευρωπαϊκή Επιτροπή έχει ως στόχο να παρέχει στις ευρωπαϊκές επιχειρήσεις και στις δημόσιες αρχές πρόσβαση σε ασφαλείς, βιώσιμες και διαλειτουργικές υποδομές και υπηρεσίες υπολογιστικού νέφους. Το γεγονός αυτό μαρτυρά την ανάγκη προσαρμογής του GDPR στις νέες τεχνολογικές προκλήσεις που δημιουργούνται από την ευρεία χρήση της  cloud τεχνολογίας για το έτος 2024.

Ας δούμε λοιπόν τις 8 πιο αναμενόμενες τάσεις  στον τομέα των προσωπικών δεδομένων  για το  2024!

  • Αυστηρότερα μέτρα απορρήτου – Τεχνολογίες Κρυπτογράφησης – Έμφαση στην ασφάλεια του Cloud.
  • Αύξηση των προστίμων από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε περιπτώσεις παραβιάσεων των προσωπικών δεδομένων.
  • Κάλυψη νομοθετικών κενών στον τομέα της Τεχνητής  Νοημοσύνης.
  • Τα δικαιώματα φορητότητας δεδομένων θα γίνουν πολύ ισχυρότερα.
  • Η διαδικτυακή ασφάλεια των ανηλίκων θα βρίσκεται στο επίκεντρο.
  • Η μεγάλη αύξηση της τηλεργασίας θα θέσει πιθανόν νέες ρυθμίσεις στο GDPR.
  • Περισσότερη νομοθετική πρόβλεψη για την αύξηση της αποτελεσματικότητας της διασυνοριακής επιβολής του GDPR.
  • Το 75% του παγκόσμιου πληθυσμού αναμένεται να έχει τα δεδομένα του προστατευμένα βάσει κανονιστικών νόμων, μέχρι το τέλος του 2024, σύμφωνα με ερευνητές της Gartner.

Για την ανασκόπηση στην πορεία του GDPR, μπορείτε να ανατρέξετε εδώ.

ανοδική πορεία προστίμων gdpr

GDPR: Η ανοδική πορεία των προστίμων

Ανοδική πορεία  των προστίμων σχετικά με τον GDPR παρατηρείται από ποικίλες στατιστικές μελέτες κατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί. Παρά το γεγονός ότι το 2023 δεν έχει ακόμη ολοκληρωθεί, τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία του enforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

Η ανοδική ποτρεία των προστίμων σχετικά με τον GDPR για το έτος 2023, οφείλεται κυρίως στο πρόστιμο ρεκόρ που επεβλήθη στη Meta. Ειδικότερα, το πρόστιμο ανέρχεται στο ποσό των 1,2 δισεκατομμυρίων ευρώ. Αφορμή αποτέλεσε η παράνομη μεταφορά δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ.  Αναμφίβολα, μέχρι την επιβολή του προστίμου στη Meta,  στις πρώτες θέσεις των εταιρειών με τα υψηλότερα πρόστιμα, βρισκόταν η Amazon και η Criteo. Συγκεκριμένα, για την τελευταία της επεβλήθη πρόστιμο ύψους 40 εκατομμυρίων ευρώ, λόγω έλλειψης των συναινέσεων των χρηστών σχετικά με τη εξατομικευμένη διαφήμιση.

Με αφορμή, τα παραπάνω πρόστιμα δεν πρέπει να ξεχνάμε, ότι η συμμόρφωση με τον GDPR είναι σημαντική για την εύρυθμη λειτουργία των εταιρειών. Μάλιστα, από το σύνολο των προστίμων προκύπτουν τρεις κοινές παραβιάσεις, οι οποίες μπορούν να λειτουργήσουν ως αφύπνιση για τις υπόλοιπες εταιρείες.  Τα τρία κοινά λάθη είναι τα εξής:

Μη λήψη ενημέρωσης για την συναίνεση του χρήστη

Σύμφωνα με τον GDPR, οι εταιρείες πρέπει να διασφαλίζουν ότι οι πελάτες τους αντιλαμβάνονται πλήρως και συναινούν με τον τρόπο επεξεργασίας και χρήσης των δεδομένων τους. Επομένως, σημαίνει ότι οι σχετικές πληροφορίες παρατίθενται στους πελάτες, με προσιτό τρόπο, αποφεύγοντας την περίπλοκη νομική ορολογία. Απαραίτητο είναι τα άτομα να δίνουν ελεύθερα ή να αρνούνται τη συγκατάθεσή τους.

Χαρακτηριστικό παράδειγμα εταιρείας  που δεν διασφάλισε τη συναίνεση των χρηστών της είναι η Google. Το πρόστιμο, που της επεβλήθη από την Γαλλική Αρχή Προστασίας Δεδομένων ανήλθε στα 57 εκατομμύρια δολάρια, το 2019. Η δημοφιλής μηχανή αναζήτησης δεν είχε παράσχει στους χρήστες σαφείς και διαφανείς πληροφορίες σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών τους δεδομένων, με σκοπό την εξατομικευμένη  διαφήμιση.

Διαβίβαση προσωπικών δεδομένων εκτός ΕΕ

Μέρος της  συμμόρφωσης με τον GDPR περιλαμβάνει τον τρόπο μεταφοράς των δεδομένων εκτός της Ευρωπαϊκής Ένωσης (ΕΕ). Το άρθρο 44 του GDPR ορίζει ότι οι οργανισμοί πρέπει να προβλέπουν επαρκείς διασφαλίσεις για τη μεταφορά προσωπικών δεδομένων σε χώρες με λιγότερο αυστηρούς νόμους σχετικά με την προστασία δεδομένων.

Όπως εξάλλου αναφέρθηκε και ανωτέρω, επεβλήθη στη Meta πρόστιμο 1,2 δισεκατομμυρίων ευρώ από την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας.  Η εταιρεία δεν συμμορφώθηκε με απόφαση του ανώτατου δικαστηρίου της Ευρωπαϊκής Ένωσης του 2020. Αναλυτικότερα, το ανώτατο δικαστήριο έκρινε ότι τα δεδομένα των Ευρωπαίων χρηστών που μεταφέρθηκαν από την εταιρεία στις Ηνωμένες Πολιτείες, δεν έχουν επαρκή προστασία έναντι των αμερικανικών αρχών.

Παράνομη επεξεργασία δεδομένων ανηλίκων

Η προστασία των δεδομένων των ανηλίκων αποτελεί κορυφαία προτεραιότητα στο πλαίσιο του GDPR. Επομένως, οι οργανισμοί υποχρεούνται να λαμβάνουν ρητή συγκατάθεση από τον κηδεμόνα ενός ανηλίκου, πριν επεξεργαστούν προσωπικά δεδομένα παιδιών ηλικίας κάτω των 16 ετών ή μικρότερης ηλικίας, όπως ορίζεται από κάθε κράτος μέλος της ΕΕ.

Η παραβίαση των νομοθετικών υποχρεώσεων που εδραιώνονται με τον Γενικό Κανονισμό Προστασίας Δεδομένων μπορεί να έχει σημαντικές επιπτώσεις σε μία εταιρεία. Σε παράνομη επεξεργασία δεδομένων ανηλίκων προέβη η δημοφιλής πλατφόρμα κοινωνικής δικτύωσης TikTok. Ειδικότερα, της επιβλήθηκε πρόστιμο 12,7 εκατομμυρίων λιρών για παράνομη επεξεργασία δεδομένων 1,4 εκατομμυρίων παιδιών κάτω των 13 ετών χωρίς τη γονική συναίνεση. Σύμφωνα με τον GDPR, η διασφάλιση του απορρήτου και της ευημερίας των νεαρών χρηστών είναι απαραίτητο στοιχείο για την επίτευξη της συμμόρφωσης.

Τι μπορούμε να μάθουμε από αυτά τα πρόστιμα;

Λαμβάνοντας υπόψιν τα πρόστιμα του 2023 σχετικά με τον GDPR, επισημαίνεται η κρίσιμη σημασία της συμμόρφωσης με τον Κανονισμό. Αναμφισβήτητα, οι εταιρείες οφείλουν να δώσουν προτεραιότητα στη λήψη ενημέρωσης και συναίνεσης των χρηστών, να εξασφαλίζουν ασφαλείς μεταφορές δεδομένων εκτός ΕΕ και να τηρούν τους κανόνες σχετικά με την προστασία των δεδομένων των ανηλίκων.

Επομένως, οι εταιρείες πρέπει να μάθουν από τα λάθη των άλλων και να λάβουν προληπτικά μέτρα. Είναι σημαντικό να εστιάσουν  στην προστασία του απορρήτου των χρηστών, στη μείωση πιθανού κινδύνου, στην οικοδόμηση εμπιστοσύνης και στην αποφυγή των νομικών και οικονομικών συνεπειών με τη μη συμμόρφωση με τον GDPR.

 

Πηγές:

  • CPO Magazine: Lessons Learned From GDPR Fines in 2023/ Διαθέσιμο εδώ.
  • Statista: Data Protection Fines Reach Record High in 2023/ Διαθέσιμο εδώ.
  • Τechcrunch: Adtech giant Criteo hit with revised €40M fine by French data privacy body over GDPR breaches/ Διαθέσιμο εδώ.

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

δυνατότητα παρακολούθησης

Γαλλία: δυνατότητα παρακολούθησης και παραβίαση ιδιωτικότητας

Νομοσχέδιο της Γαλλίας προβλέπει, στο πλαίσιο της αντεγκληματικής πολιτικής της, την δυνατότητα εξ αποστάσεως παρακολούθησης υπόπτων από την αστυνομία. Η εξ αποστάσεως παρακολούθηση δύναται να πραγματοποιείται μέσω καμερών, μικροφώνων, GPS σε smartphone και μέσω παρόμοιων άλλων συσκευών. Η εν λόγω νομοθετική πρωτοβουλία θα επιτρέψει τον εντοπισμό ατόμων, που είναι ύποπτοι για εγκλήματα που επιφέρουν ποινές φυλάκισης τουλάχιστον 5 χρόνων. Ωστόσο, το εν λόγω νομοσχέδιο έχει δημιουργήσει κύμα αντιδράσεων σχετικά με την προστασία των προσωπικών  δεδομένων και την παραβίαση της ιδιωτικότητας.

Η δυνατότητα παρακολούθησης υπόπτων

Η παρακολούθηση των υπόπτων θα πραγματοποιείται στα δεδομένα της γεωγραφικής τοποθεσίας τους   μέσω φορητών υπολογιστών, αυτοκινήτων, τηλεφώνων και άλλων συσκευών. Επιπλέον,  προβλέπεται η δυνατότητα καταγραφής ήχου και εικόνας μέσα από τις συσκευές των ατόμων  που ενδεχομένως να εμπλέκονται σε τρομοκρατικά αδικήματα, σε παραβατικές ενέργειες (ανάλογα με τον βαθμό παραβατικότητας) και σε εγκληματικές οργανώσεις.

Ωστόσο, η χρήση της εξ αποστάσεως παρακολούθησης δεν θα είναι ανεξέλεγκτη καθώς με πρόσφατη τροπολογία στο εν λόγω νομοσχέδιο θεσμοθετούνται περιορισμοί ως προς τον χρόνο, τον λόγο παρακολούθησης και τα επαγγέλματα. Επεξηγηματικά, η παρακολούθηση θα εξαρτάται από τη φύση και τη σοβαρότητα του εγκλήματος και θα εφαρμόζεται με αυστηρά αναλογική διάρκεια. Επίσης, για την εφαρμογή της παρακολούθησης, είναι απαραίτητη η έγκριση από δικαστή. Η συνολική διάρκεια της επιτήρησης δεν μπορεί να υπερβαίνει τους 6 μήνες. Μεταξύ των επαγγελμάτων που προστατεύονται συμπεριλαμβάνονται οι ιατροί, δημοσιογράφοι, δικηγόροι, δικαστές, καθώς και οι βουλευτές.

Η παραβίαση της ιδιωτικότητας

Η δυνατότητα της εξ αποστάσεως παρακολούθησης έχει προκαλέσει ποικίλες αντιδράσεις, καθώς διαπιστώνονται προβληματισμοί σχετικά με την προστασία των προσωπικών δεδομένων και της  ιδιωτικότητας του ατόμου. Σύμφωνα με, την γαλλική συμβουλευτική ομάδα για την προώθηση των ψηφιακών δικαιωμάτων και των ελευθεριών, La Quadrature du Net, η νομοθεσία που ψηφίστηκε πρόσφατα εγείρει σημαντικές ανησυχίες για την παραβίαση των «θεμελιωδών ελευθεριών». Μάλιστα, υποστηρίζεται ότι δεν διαπιστώνεται πρακτικός περιορισμός χρήσης των τεχνολογικών μέσων από την αστυνομία αφού κάλλιστα θα μπορούσε να ενεργοποιεί οποιαδήποτε συσκευή εξ αποστάσεως, όπως είναι ακόμη και τα monitor για τα μωρά.

Επιπροσθέτως, η Quadrature du Net επισημαίνει ότι με τη ψήφιση του υπό συζήτηση νομοσχεδίου, βαίνουμε προς την ποινικοποίηση της κρυπτογράφησης. Η κρυπτογράφηση των επικοινωνιών είναι μια κοινή πρακτική που διασφαλίζει ότι η αλληλογραφία κάποιου δεν είναι προσβάσιμη από τρίτους εκτός των παραληπτών. Το δικαίωμα στην κρυπτογράφηση είναι μια επέκταση του δικαιώματός μας στην ιδιωτικότητα, που διατυπώνεται στο Άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων. Επίσης, αναφέρει, ότι με αυτόν τον τρόπο, τα απαραίτητα μέτρα για την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής θεωρούνται ως ενδείξεις «συνωμοτικών ενεργειών».

Από το 2022, πάνω από 2 δισεκατομμύρια άνθρωποι χρησιμοποιούν κρυπτογράφηση στην καθημερινότητά τους, παγκοσμίως, με σκοπό τη διατήρηση του απορρήτου. Ωστόσο, η κρυπτογράφηση υποτιμάται από εισαγγελείς και νομοθέτες στη Γαλλία, την ΕΕ, το Ηνωμένο Βασίλειο και τις ΗΠΑ.

Η δυνατότητα παρακολούθησης ηλεκτρονικών συσκευών σε άλλες χώρες

Έρευνα της Comparitech, που διενεργήθηκε το 2022, ανέδειξε ότι πολλές χώρες παγκοσμίως παρέχουν στις υπηρεσίες επιβολής του νόμου, την δυνατότητα πρόσβασης στα κινητά τηλέφωνα των πολιτών. Τα επίπεδα πρόσβασης διαφέρουν μεταξύ των χωρών. Ενδεικτικά, η  Κίνα, η Σαουδική Αραβία, η Σιγκαπούρη και τα Ηνωμένα Αραβικά Εμιράτα επιτρέπουν απεριόριστη πρόσβαση στις συσκευές. Η Γερμανία επιτρέπει την απομακρυσμένη πρόσβαση σε smartphone και την εγκατάσταση λογισμικού υποκλοπής spyware στο τηλέφωνο οποιουδήποτε, ακόμη και αν δεν είναι ύποπτος για κάποιο έγκλημα.

Αντίθετα, η Αυστρία, το Βέλγιο, η Φινλανδία και η Ιρλανδία συγκαταλέγονται στις χώρες με την μεγαλύτερη προστασία του απορρήτου των κινητών συσκευών. Οι χώρες αυτές παρέχουν σαφή και ακριβή νομοθεσία για την πρόσβαση  της κρατικής αστυνομίας σε κινητά τηλέφωνα, με απαραίτητη προϋπόθεση την έκδοση εντάλματος για την παρακολούθηση ενός υπόπτου.

Συμπέρασμα

Παρατηρώντας τις εξελίξεις σχετικά με την ψήφιση του νομοσχεδίου για την δυνατότητα της αστυνομίας να παρακολουθεί ύποπτους τέλεσης αξιόποινων πράξεων μέσα από τις ηλεκτρονικές τους συσκευές διαπιστώνουμε ότι η Γαλλία δεν έχει την αποκλειστικότητα στην λήψη τέτοιου είδους νομοθετικών πρωτοβουλιών, αλλά παρατηρούνται αντίστοιχες νομοθεσίες περισσότερο ή λιγότερο αυστηρές παγκοσμίως. Ο προβληματισμός γύρω από την υπό συζήτηση νομοθετική πρωτοβουλία της Γαλλίας κυμαίνεται στο πλαίσιο προστασίας της ιδιωτικότητας των πολιτών.

Το σημαντικότερο από τα ζητήματα που προκύπτουν κατά την χρήση της τεχνολογίας στο πλαίσιο της αντεγκληματικής πολιτικής είναι το αν δύναται να υπάρχει ισορροπία ανάμεσα στην ασφάλεια μιας κοινωνίας και στην ελευθερία των πολιτών της. Ειδικότερα, οι φιλελεύθερες κοινωνίες καλώς ή κακώς χαρακτηρίζονται από τρωτά σημεία στην πολιτική τους αφήνοντας ευάλωτους τους πολίτες σε προσβολές των ατομικών και κοινών έννομων αγαθών τους. Από την άλλη πλευρά, οι απολύτως ασφαλείς κοινωνίες μοιραία αλλοιώνουν τον φιλελεύθερο χαρακτήρα τους και τείνουν προς την αυταρχία. Είναι δεδομένο λοιπόν πως επιχειρώντας την επίτευξη της μέγιστης δυνατής ασφάλειας θίγεται ένα μέρος από την ελευθερία των πολιτών.

 

Πηγές:

  • Comparitech: Police Spying Powers: 50 countries ranked on powers to access mobile devices/ Διαθέσιμο εδώ.
  • Cybernews: French lawmakers pass watered-down police phone spying bill/ Διαθέσιμο εδώ.
  • La Quadrature du Net: OP-ED: ʻencryption protects our rights, privacy is not a crimeʼ/ Διαθέσιμο εδώ.
  • PRESSTV: France set to pass bill to let police spy through mobile phones/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

AI

Το νέο σχέδιο κανονισμού και οι προκλήσεις στη κινεζική βιομηχανία της Τεχνητής Νοημοσύνης

Αποτελεί κοινή διαπίστωση ότι η ανάπτυξη της τεχνητής νοημοσύνης (AI) προϋποθέτει την χρήση μεγάλων συνόλων δεδομένων για την εκπαίδευση αλγορίθμων στη δημιουργία μοντέλων που χρησιμοποιούνται για έξυπνη λήψη αποφάσεων στα ερωτήματα που απαντώνται με την χρήση της. Κατά το μέρος όπου συχνά τα δεδομένα αυτά περιλαμβάνουν και προσωπικά δεδομένα, η νομοθεσία για την προστασία των προσωπικών δεδομένων μπορεί να θεωρηθεί ότι εμποδίζει την ταχεία ανάπτυξη των μοντέλων της τεχνητής νοημοσύνης. Υποστηρίζεται ότι χώρες, στις οποίες η προστασία των προσωπικών δεδομένων είναι πιο ήπια (ή και ανύπαρκτη) μπορεί να έχουν ένα ανταγωνιστικό πλεονέκτημα στην AI. Με αυτόν τον προβληματισμό είναι ενδιαφέρον να παρακολουθούμε τις εξελίξεις σε τέτοιες χώρες.

Η Διοίκηση Κυβερνοχώρου της Κίνας (Cyberspace Administration of China – CAC) δημοσίευσε πρόσφατα ένα σχέδιο κανονισμού σχετικά με τα «Μέτρα Διαχείρισης των Υπηρεσιών της AI». Σκοπός των εν λόγω μέτρων είναι η ρύθμιση και η ανάπτυξη των υπηρεσιών που κάνουν χρήση της τεχνητής νοημοσύνης (ΑΙ) στην Κίνα.

Το σχέδιο κανονισμού

Το σχέδιο κανονισμού αποτελείται από 21 άρθρα, τα οποία αφορούν τις ρυθμιστικές αρχές και συγκεκριμένες προϋποθέσεις σχετικά με τα προϊόντα και τις υπηρεσίες που περιέχουν ΑΙ. Τα μέτρα ορίζουν τις υπηρεσίες που κάνουν χρήση της AI, ως εκείνες που μπορούν ανεξάρτητα να δημιουργήσουν, να τροποποιήσουν ή να συνθέσουν κείμενο, ήχο, εικόνες ή βίντεο. Ωστόσο, η εφαρμογή του επίσημου κανονισμού ενδέχεται να επηρεάσει τον χρόνο διάθεσης των προϊόντων και υπηρεσιών με ΑΙ στην αγορά της  χώρας.

Συλλογή και Διατήρηση των δεδομένων

Ιδιαίτερη έμφαση έχει δοθεί στη συλλογή και διατήρηση των δεδομένων. Συγκεκριμένα, το σχέδιο κανονισμού ορίζει, ότι οι πάροχοι υπηρεσιών πρέπει να θεσπίσουν αυστηρούς μηχανισμούς συλλογής και διατήρησης των δεδομένων. Οπωσδήποτε, απαιτείται να λαμβάνουν τη συναίνεση του χρήστη, να προσδιορίζουν με σαφήνεια τον σκοπό της συλλογής δεδομένων και να διασφαλίζουν την ασφάλεια και την εμπιστευτικότητα των δεδομένων χρήστη. Ακόμη, τα μέτρα τονίζουν την ανάγκη να αποτραπεί η συλλογή και χρήση προσωπικών δεδομένων χωρίς την κατάλληλη εξουσιοδότηση.

Προϋποθέσεις για την παροχή υπηρεσιών και προϊόντων με ΑΙ

Το σχέδιο κανονισμού θέτει αυστηρά μέτρα για την αξιολόγηση της  ασφάλειας των δεδομένων, για την κυκλοφορία των προϊόντων και των υπηρεσιών με ΑΙ στην αγορά της Κίνας. Οι πάροχοι υπηρεσιών τεχνητής νοημοσύνης πρέπει να εφαρμόζουν ισχυρούς μηχανισμούς ελέγχου περιεχομένου για τον εντοπισμό και την πρόληψη ενδεχόμενων κινδύνων. Οι πάροχοι  υπηρεσιών είναι υπεύθυνοι για τη νομιμότητα των πηγών – δεδομένων των προϊόντων τους.

Σημαντικό ζήτημα αποτελεί η πιθανότητα διαρροής ψευδών πληροφοριών. Το περιεχόμενο που δημιουργείται από τα προϊόντα και τις  υπηρεσίες με AI, θα πρέπει να έχουν σαφήνεια, ακρίβεια και να λαμβάνονται κατάλληλα μέτρα πρόληψης. Επιπλέον, οι πάροχοι υπηρεσιών θα πρέπει να εφαρμόζουν συστήματα ταυτοποίησης του χρήστη για να διασφαλίζουν την αυθεντικότητα των λογαριασμών των χρηστών και να αποτρέπουν την κακή χρήση των υπηρεσιών τεχνητής νοημοσύνης.

Λογοδοσία και αναφορά παραβίασης

Οι πάροχοι πρέπει να δημιουργήσουν εσωτερικούς μηχανισμούς λογοδοσίας για την επίβλεψη της ανάπτυξης και της χρήσης των υπηρεσιών με ΑΙ. Οφείλουν  να αναφέρουν τυχόν σημαντικά περιστατικά, παραβιάσεις ασφαλείας ή άλλες σχετικές πληροφορίες στην CAC και να συνεργάζονται με τις ρυθμιστικές αρχές.

Εξαγωγές και Διεθνείς Συνεργασίες

Το νέο σχέδιο κανονισμού επισημαίνει τη σημασία της συμμόρφωσης με τους κανονισμούς ελέγχου των εξαγωγών σχετικά με την παροχή υπηρεσιών με ΑΙ. Οι πάροχοι αναμένεται να ακολουθούν τους σχετικούς νόμους και κανονισμούς όταν εξάγουν υπηρεσίες ή προϊόντα με ΑΙ.

Σύμφωνα με τις διακηρύξεις της η Κίνα υποστηρίζει τη διεθνή  συνεργασία και ενθαρρύνει τη χρήση ενός ασφαλούς και αξιόπιστου λογισμικού. Είναι απαραίτητο να διερευνηθούν τα μονοπάτια διεθνούς συνεργασίας,  ώστε να καταστεί παραγωγική η παροχή υπηρεσιών και προϊόντων με ΑΙ στη βιομηχανία της Κίνας.

Συμπερασματικά

Η εμφάνιση των υπηρεσιών και των προϊόντων με ΑΙ έχει δημιουργήσει σημαντικά ζητήματα, με αποτέλεσμα να πρέπει να λαμβάνονται τα απαραίτητα μέτρα από διάφορες ρυθμιστικές αρχές (π.χ. Κίνα και Ευρωπαϊκή Ένωση). Σύμφωνα με το ρυθμιστικό πλαίσιο που ακολουθούν, κύριο μέλημα είναι η προστασία, η συλλογή, η διατήρηση των δεδομένων των χρηστών, οι προϋποθέσεις, με τις οποίες θα παρέχονται οι υπηρεσίες και τα προϊόντα  με ΑΙ, η πρόληψη  κινδύνων, η διαφάνεια και η ακρίβεια των πληροφοριών καθώς και η ανάπτυξη διεθνών συνεργασιών.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

 

 

English version

New draft regulation and challenges in Chinese AIGC industry

 

The Cyberspace Administration of China (CAC) recently released a draft regulation of the “Measures for the Administration of Generative AI Services” for public comments. These measures aim to regulate the development and use of generative artificial intelligence (AI) services within China.

Generative Artificial Intelligence (AIGC) products have raised concerns about invasion of privacy and the possibility of false information leak, and the various ethical issues that are raised. Europe has already created a relevant framework, while China’s regulatory framework will be formed and implemented soon.

The new draft regulation

The draft regulation includes 21 articles, on the regulatory authorities and the specific requirements regarding AIGC products and services. The measures define AIGC services as those that can independently generate, modify, or synthesize text, audio, images, or videos using AI technology. However, it is expected that the time-to-market of domestic AIGC products and services will be impacted after the implementation of the official regulations.

Data Collection and Storage

According to the draft regulation, service providers must establish strict data collection and storage mechanisms. They are required to obtain user consent, clearly specify the purpose of data collection, and ensure the security and confidentiality of user data. The measures also emphasize the need to prevent the collection and use of personal data without proper authorization.

Conditions for the provision of AIGC services and products

The draft regulation strictly sets the data security assessment for the release of AIGC products and services in the Chinese market. AIGC service providers must implement robust content review mechanisms to identify and prevent risks. Providers are responsible for the legality of the data sources of their products.

An important issue is the possibility of false information leak. The content generated by AIGC products and services should be clear, accurate, and the appropriate preventative measures must be taken. In addition, service providers are required to implement user identity verification systems to ensure the authenticity of user accounts and prevent the misuse of generative AI services.

Accountability and Breach Reporting

Providers must establish internal accountability mechanisms to supervise the development, deployment, and use of generative AI services. They are also required to report any significant incidents, security breaches, or other relevant information to the CAC and cooperate with regulatory investigations.

Exports and International Partnerships

The draft measures highlight the importance of complying with export control regulations regarding AI technologies. Providers are expected to follow relevant laws and regulations when exporting generative AI services or technologies.

China supports international cooperation and encourages the use of safe and reliable software. It is necessary to explore paths of international cooperation in order to make the provision of AIGC services productive in China’s industry.

Conclusion

The emergence of AIGC services and products has created significant issues, as a result of which serious measures must be taken by various regulatory authorities (e.g., China and European Union). Consequently, the relevant regulatory frameworks concentrate to the protection, collection, retention of user data, the conditions under which AIGC services and products are provided, risk prevention, transparency, and accuracy of information as well as the development of international collaborations.

 

 

Πρόστιμο σε νοσοκομείο για φωτογραφίες ασθενούς

Περιεχόμενο καταγγελίας

Το Συμβούλιο Προστασίας Προσωπικών Δεδομένων (Personal Data Protection Board) της Τουρκίας επέβαλε πρόστιμο σε Νοσοκομείο, κατόπιν καταγγελίας σχετικά με την κοινοποίηση φωτογραφιών ασθενούς.  Οι φωτογραφίες τραβήχτηκαν κατά τη διάρκεια χειρουργικής επέμβασης. Μάλιστα, ακολούθησε δημοσίευση των φωτογραφιών στον λογαριασμό των μέσων κοινωνικής δικτύωσης ιατρού που εργάζεται σε αυτό.

Σύμφωνα με την καταγγελία υποστηρίζεται ότι τα προσωπικά δεδομένα του υποκειμένου των δεδομένων υποβλήθηκαν σε παράνομη επεξεργασία. Συγκεκριμένα, ο ασθενής δεν έδωσε ρητή συγκατάθεση, για την κοινοποίηση φωτογραφιών, που τραβήχτηκαν κατά τη διάρκεια της επέμβασης, από τρίτον στα μέσα κοινωνικής δικτύωσης. Μάλιστα, ο χρόνος διατήρησης  των φωτογραφιών από τον ιατρό  του Νοσοκομείου  υπολογίζεται στα 2 χρόνια.

Το Συμβούλιο έκανε τις ακόλουθες εξηγήσεις σχετικά με την καταγγελία

Οι φωτογραφίες που αποτελούν το αντικείμενο της καταγγελίας αποτελούν προσωπικά δεδομένα. Ειδικότερα, τα μέρη του προσώπου του υποκειμένου των δεδομένων, (π.χ. τα φρύδια, το μουστάκι κ.λπ.) καθιστούν το άτομο αναγνωρίσιμο. Τα  εν λόγω μέρη περιλαμβάνονται σαφώς και δεν έχουν ανωνυμοποιηθεί .

Από την άλλη πλευρά, το Νοσοκομείο (ως υπεύθυνος επεξεργασίας) υποστηρίζει  ότι έλαβαν τη ρητή συναίνεση του υποκείμενου των δεδομένων. Ωστόσο, οι εν λόγω φωτογραφίες υποβλήθηκαν σε επεξεργασία από ιατρό, που εργάζεται στο Νοσοκομείο και όχι από το ίδιο το  Νοσοκομείο.

Η ρητή συγκατάθεση που δόθηκε στο Νοσοκομείο δεν παρέχει νομιμοποιητική βάση για τη χρήση φωτογραφιών από τον ιατρό. Τα προσωπικά δεδομένα του υποκειμένου των δεδομένων έχουν υποστεί παράνομη επεξεργασία. Το Νοσοκομείο, που είναι υπεύθυνος επεξεργασίας δεδομένων, έχει γνώση αυτής της κατάστασης. Επομένως, η κοινοποίηση των φωτογραφιών του υποκειμένου των δεδομένων στα μέσα κοινωνικής δικτύωσης από τρίτον υποδηλώνει, ότι δεν ελήφθησαν τα απαραίτητα τεχνικά και οργανωτικά μέτρα από το Νοσοκομείο.

Η απόφαση του Συμβουλίου

Το Συμβούλιο αποδέχτηκε ότι το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία των δεδομένων του προς το Νοσοκομείο (που λειτουργεί εν προκειμένω ως υπεύθυνος επεξεργασίας δεδομένων). Παρά ταύτα ο ιατρός  του Νοσοκομείου δεν είχε λάβει ρητή συγκατάθεση σχετικά με την κοινοποίηση των εικόνων στα μέσα κοινωνικής δικτύωσης.

Επομένως, δεδομένου ότι το Νοσοκομείο γνώριζε την διενεργηθείσα κοινοποίηση και την επέτρεψε τεκμαίρεται ότι ο  υπεύθυνος επεξεργασίας δεδομένων δεν λαμβάνει επαρκή τεχνικά και οργανωτικά μέτρα. Το Νοσοκομείο δεν εξασφάλισε το κατάλληλο επίπεδο ασφάλειας. Συνεπώς, δεν απέτρεψε την παράνομη πρόσβαση και την επεξεργασία προσωπικών δεδομένων, για να εξασφαλίσει την προστασία τους. Στο πλαίσιο αυτό το Συμβούλιο επέβαλε διοικητικό πρόστιμο στο Νοσοκομείο ύψους 4.657 ευρώ.

Πηγή:

Lexology.com/ Hospital fined after doctor shares surgery photos on social media / Διαθέσιμο εδώ

Turkish Law-Blog/ Sharing the Photos Taken During Surgery /Διαθέσιμο εδώ

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Δεδομένα υγείας και cookies: πρόστιμο 380.000 €

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στον ιστότοπο DOCTISSIMO πρόστιμο 380.000 ευρώ, καθώς η συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον GDPR ήταν ανεπαρκής. Το πρόστιμο αφορούσε τα δεδομένα υγείας και την χρήση των cookies. Ο DOCTISSIMO προέβη στη συλλογή και χρήση των δεδομένων υγείας των υποκειμένων και η συμμόρφωση με τους κανόνες για τα cookies ήταν ανεπαρκής.

Γενικές πληροφορίες

Ο ιστότοπος DOCTISSIMO δημιουργήθηκε αρχικά για την ενημέρωση των επισκεπτών στον τομέα της υγείας. Διαθέτει τεστ, κουίζ και φόρουμ συζήτησης που αφορούν την υγεία και την ευεξία για το ευρύ κοινό. Κατόπιν καταγγελίας της ένωσης PRIVACY INTERNATIONAL, η Γαλλική Αρχή διεξήγαγε 4 έρευνες για τον DOCTISSIMO.

Κατά τη διάρκεια των ερευνών, η Γαλλική Αρχή  εντόπισε αρκετές παραβιάσεις. Συγκεκριμένα, οι παραβιάσεις αφορούσαν τον χρόνο διατήρησης δεδομένων, τη συλλογή δεδομένων υγείας μέσω online tests, την ασφάλεια των δεδομένων και τον τρόπο με τον οποίο τα cookies συλλέγουν τα δεδομένα των χρηστών.

Η Γαλλική Αρχή επέβαλε 2 πρόστιμα στον ιστότοπο DOCTISSIMO:
  • Αρχικά, επέβαλε πρόστιμο 280.000 ευρώ για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Το πρόστιμο αυτό λήφθηκε σε συνεργασία με όλους τους ευρωπαϊκούς ομόλογους της Γαλλικής Αρχής, διότι η ιστοσελίδα δύναται να έχει επισκέπτες από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
  • Το δεύτερο πρόστιμο των 100.000 ευρώ επεβλήθη για τη μη συμμόρφωση με τη χρήση των cookies (άρθρο 82 της γαλλικής νομοθεσίας για την προστασία δεδομένων). Σε αυτήν την περίπτωση, η Γαλλική Αρχή έχει τη δικαιοδοσία να ενεργεί από μόνη της.
Κυρώσεις για παραβιάσεις

Παραβίαση της βασικής αρχής του περιορισμού της περιόδου αποθήκευσης· (Άρθρο 5.1(ε) GDPR)

Ο ιστότοπος διατηρούσε δεδομένα από τα tests που συμπλήρωναν οι χρήστες. Ο χρόνος διατήρησης των δεδομένων ανερχόταν στους 24 μήνες. Η Γαλλική Αρχή υποστήριξε ότι αυτές οι περίοδοι διατήρησης είναι υπερβολικές, διότι δεν συνάδουν με τις ανάγκες του ιστότοπου. Επιπλέον, υπήρξε διατήρηση δεδομένων των χρηστών των οποίων ο λογαριασμός ήταν ανενεργός για περισσότερο από τρία χρόνια, χωρίς καμία διαδικασία ανωνυμοποίησης.

Μη λήψη συναίνεσης των επισκεπτών για τη συλλογή των δεδομένων υγείας τους (άρθρο 9 GDPR)

Ο εν λόγω ιστότοπος δεν προέβλεπε κανέναν ειδικό μηχανισμό προειδοποίησης ή συναίνεσης στα online tests, για να διασφαλίσει τη συναίνεση των επισκεπτών για την επεξεργασία των δεδομένων υγείας τους. Σύμφωνα με την εταιρεία, η συλλογή δεδομένων υγείας αφορούσε περίπου το 5% των τεστ.

Ανεπαρκές νομικό πλαίσιο για τις ενέργειες των από κοινού υπευθύνων επεξεργασίας (άρθρο 26 GDPR)

Η εταιρεία DOCTISSIMO υλοποιεί επεξεργασία προσωπικών δεδομένων με άλλες εταιρείες, ιδίως για διαφημιστικούς σκοπούς στον ιστότοπο. Αυτές οι σχέσεις κοινής ευθύνης δεν πλαισιώθηκαν από κανένα επίσημο έγγραφο, όπως μια σύμβαση. Ειδικότερα, ένα τέτοιο έγγραφο πρέπει να αναφέρει την κατανομή των υποχρεώσεων μεταξύ των από κοινού υπευθύνων επεξεργασίας.

Μη διασφάλιση της ασφάλειας των προσωπικών δεδομένων (άρθρο 32 GDPR)

Μέχρι τον Οκτώβριο του 2019, η εταιρεία χρησιμοποιούσε ένα πρωτόκολλο επικοινωνίας «http», το οποίο δεν είναι ασφαλές. Στη συνέχεια, εξέθετε τα δεδομένα σε κίνδυνο επιθέσεων ή παραβίασης δεδομένων. Επιπλέον, διατηρούσε τους κωδικούς πρόσβασης των χρηστών σε ανεπαρκώς ασφαλή μορφή.

Μη συμμόρφωση με τις υποχρεώσεις της χρήσης των cookies (άρθρο 82 της γαλλικής νομοθεσίας περί προστασίας δεδομένων)

Η Γαλλική Αρχή παρατήρησε ότι  ο τερματικός των χρηστών υφίστατο παρακολούθηση από διαφημιστικό cookie από τη στιγμή που εισήλθαν στον ιστότοπο, χωρίς τη συγκατάθεσή τους. Περαιτέρω, διαπιστώθηκε παρακολούθηση από 2 διαφημιστικά cookies, μετά την επιλογή του κουμπιού «Απόρριψη όλων».

Συμπέρασμα:

Ο εκάστοτε Υπεύθυνος Επεξεργασίας που συλλέγει με οποιονδήποτε τρόπο προσωπικά δεδομένα, θα πρέπει να προβλέπει τη συμμόρφωση και με το υφιστάμενο νομοθετικό πλαίσιο περί προστασίας τους. Εν προκειμένω, ο Υπεύθυνος Επεξεργασίας επέλεξε την συλλογή ειδικών κατηγοριών προσωπικών δεδομένων (δεδομένα υγείας) των επισκεπτών του ιστοτόπου του με διάφορα μέσα, χωρίς όμως να πληροί καμία από τις προϋποθέσεις της εγχώριας και της κοινοτικής νομοθεσίας.

Αυτό είχε σαν αποτέλεσμα την παράνομη επεξεργασία των προσωπικών δεδομένων των Υποκειμένων και την κατ’ εξακολούθηση διακινδύνευση των θεμελιωδών δικαιωμάτων των προσώπων που επισκέπτονταν τον ιστότοπο του. Από τα πρόστιμα της Γαλλικής Αρχής προκύπτει επομένως ότι ένας ιστότοπος που παρέχει ψηφιακό περιεχόμενο σχετικό με την υγεία, θα πρέπει να  είναι συμμορφομένος πλήρως με τον GDPR, ώστε να αποτρέψει τις ενδεχόμενες παραβιάσεις των δεδομένων που συλλέγει και να προστατεύσει τα δικαιώματα των χρηστών που τον επισκέπτονται.

Πηγή:

CNIL: Health data and use of cookies: DOCTISSIMO fined €380,000/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Παγκόσμια Ημέρα Κωδικού Πρόσβασης

Η Παγκόσμια Ημέρα Κωδικού Πρόσβασης (World Password Day) δημιουργήθηκε από την εταιρεία Intel. Η ιδέα προήλθε από το βιβλίο “Perfect Passwords” του ερευνητή ασφαλείας, Mark Burnett. Η πρώτη Πέμπτη του Μαΐου ορίστηκε Παγκόσμια Ημέρα Κωδικού Πρόσβασης και εορτάστηκε για πρώτη φορά το 2013. Σκόπος της ημέρας είναι η ενημέρωση και η αποτελεσματικότητα των κωδικών πρόσβασης.

 

Πώς μπορεί να μας αφυπνίσει η Παγκόσμια Ημέρα Κωδικού Πρόσβασης;
  • Ο ενημερωμένος «user» είναι λιγότερο εκτεθειμένος στους κινδύνους.
  • Η ημέρα αυτή μπορεί να αποτελέσει ένα έναυσμα για να ενημερωθούμε σχετικά με την ενίσχυση της αποτελεσματικότητας των κωδικών πρόσβασής μας.
  • Μπορούμε να κοινοποιήσουμε σχετικά άρθρα ή να ενημερώσουμε το κοντινό μας περιβάλλον για την δημιουργία ισχυρών κωδικών πρόσβασης, ώστε να τους προστατέψουμε από πιθανές παραβιάσεις και τον ανεπιθύμητο αντίκτυπό τους.

 

Οι κωδικοί πρόσβασης στην καθημερινότητά μας

Οι κωδικοί πρόσβασης φαίνεται να είναι απαραίτητοι στην καθημερινότητα μας. Η πρόσβαση στους υπολογιστές κατά τη διάρκεια της εργασίας μας, το log in σε πλατφόρμες που έχουμε εγγραφεί, η πρόσβαση σε τραπεζικούς λογαριασμούς, το άνοιγμα των mails, ακόμη και η πρόσβαση στα μέσα κοινωνικής  δικτύωσης, αποτελούν καθημερινές μας συνήθειες. Παρατηρούμε ότι  το κοινό τους χαρακτηριστικό είναι η είσοδος με κωδικό πρόσβασης (password).

 

Η δημιουργία κωδικού πρόσβασης

Από την άλλη πλευρά, η δημιουργία ενός κωδικού πρόσβασης δεν είναι αρκετή, καθώς οι περισσότεροι χρησιμοποιούν απλούς και εύκολους κωδικούς, με σκοπό την εύκολη απομνημόνευσή τους. Επομένως, δημιουργούμε έναν αδύναμο κωδικό πρόσβασης.

Με αυτόν τον τρόπο, μειώνουμε την προστασία των προσωπικών δεδομένων μας και γινόμαστε ευάλωτοι σε επιθέσεις κακόβουλων λογισμικών και των hackers. Η δημιουργία αποτελεσματικών κωδικών πρόσβασης, λειτουργεί ως ασπίδα προστασίας των προσωπικών μας δεδομένων. Αποτρέποντας την υποκλοπή ταυτότητας, κλοπή χρηματικού ποσού, την διαρροή προσωπικών  δεδομένων ειδικών κατηγοριών ή μη.

Σύμφωνα με την Google, οι ισχυροί κωδικοί πρόσβασης συμβάλλουν στη διατήρηση της ασφάλειας των προσωπικών μας δεδομένων. Ακόμη, προστατεύουν τα μηνύματα και τα αρχεία του ηλεκτρονικού ταχυδρομείου και εμποδίζουν κάποιον να εισέλθει στον λογαριασμό μας.

 

Τα passwords στον GDPR

Οι ισχυροί και ασφαλείς κωδικοί πρόσβασης είναι ζωτικής σημασίας, ειδικά τώρα που το μεγαλύτερο μέρος της δουλειάς μας γίνεται διαδικτυακά. Επομένως, είναι καλύτερο να έχετε πολύπλοκους και μοναδικούς κωδικούς πρόσβασης, που δεν είναι εύκολο να συνδυαστούν. Ακόμη κι αν υπάρχει ένας ισχυρός κωδικός πρόσβασης, θα πρέπει να αλλάζει μία φορά κάθε λίγες εβδομάδες ή και μήνες.

Με αυτόν τον τρόπο, ακόμα κι αν οι κωδικοί πρόσβασής σας, είτε προσωπικής είτε επαγγελματικής χρήσης, διαρρεύσουν λόγω παραβίασης δεδομένων, ένας νέος ισχυρότερος κωδικός πρόσβασης μπορεί να αποτρέψει την πρόσβαση στα προσωπικά σας στοιχεία.

Κατά τη συμμόρφωση μιας εταιρείας με τον GDPR, στο Σχέδιο Ασφαλείας και συγκεκριμένα στην Πολιτική Αποδεκτής Χρήσης Πληροφοριακών και Επικοινωνιακών Συστημάτων προβλέπεται η διαδικασία δημιουργίας ενός ισχυρού κωδικού πρόσβασης (password). Επομένως, σκοπός της συγκεκριμένης πολιτικής είναι η βέλτιστη προστασία των  λογαριασμών των χρηστών μιας εταιρείας.

 

Τα passwords και οι στατιστικές

Σύμφωνα με στατιστικές μελέτες διαπιστώνεται ότι:

  • Το 99,9% των απειλών για τους κωδικούς πρόσβασης, μπορεί να περιοριστεί χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), σύμφωνα με τη Microsoft.
  • Το 2020 ήταν η χρονιά κατά την οποία ο τύπος πληροφοριών που κλάπηκαν παγκοσμίως ήταν τα διαπιστευτήρια (credentials).
  • Σε έρευνα του 2020, το 40%  των ατόμων που συμμετείχαν, δήλωσε ότι τα δεδομένα της εταιρείας τους παραβιάστηκαν εξαιτίας ενός αδύναμου κωδικού πρόσβασης.
  • Το 82% των εργαζομένων παραδέχεται ότι ανακυκλώνει τους ίδιους κωδικούς πρόσβασης.

 

Τα 3 πιο κοινά passwords  και πόσο χρειάζεται για να παραβιαστούν:
  • 123456: Λιγότερο από 1 δευτερόλεπτο για να σπάσει. με 3,5 εκατομμύρια χρήσεις.
  • Password: Λιγότερο από 1 δευτερόλεπτο για να σπάσει, με 1,7 εκατομμύρια χρήσεις .
  • abc123 : Λιγότερο από 1 δευτερόλεπτο για να σπάσει, με 610.000 χρήσεις.

 

Η δημιουργία ισχυρών κωδικών πρόσβασης είναι η λύση!

Οι ισχυροί κωδικοί πρόσβασης είναι κωδικοί που δεν είναι εύκολο να μαντέψει κανείς ή να σπάσει. Αδιαμφισβήτητα, οι hackers χρησιμοποιούν συχνά αλγόριθμους για να δημιουργήσουν κοινούς συνδυασμούς γραμμάτων, αριθμών και συμβόλων σε μια προσπάθεια να πάρουν το σωστό συνδυασμό για τον κωδικό πρόσβασής σας. Αντίθετα, οι ισχυροί κωδικοί πρόσβασης συνδυάζουν γράμματα με αριθμούς και ειδικούς χαρακτήρες, καθιστώντας πιο δύσκολο στους hackers να σπάσουν τον συνδυασμό.

 

Τί περιέχει ένας ισχυρός κωδικός πρόσβασης;
  • Περιέχει τουλάχιστον 12 χαρακτήρες
  • Συνδυασμός κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων
  • Δεν χρησιμοποιούμε προσωπικά στοιχεία
  • Ένας μοναδικός κωδικός πρόσβασης για κάθε λογαριασμό και όχι έναν για όλους
  • Προσπαθήστε να εφαρμόσετε ένα ή περισσότερα από τα στοιχεία όταν δημιουργείτε τους κωδικούς πρόσβασής σας. Όσο περισσότερα στοιχεία εφαρμόζετε, τόσο ισχυρότερος θα είναι ο κωδικός πρόσβασης.
  • Αλλάζετε περιστασιακά τον κωδικό πρόσβασής σας για να βεβαιωθείτε ότι παραμένει ασφαλής.

 

Συμπέρασμα

Η Παγκόσμια Ημέρα Κωδικού Πρόσβασης καθιερώθηκε για να μας υπενθυμίζει την σημασία που έχουν οι ισχυροί κωδικοί πρόσβασης. Θυμηθείτε, όσο λιγότερο απλός είναι ο κωδικός πρόσβασής σας, τόσο λιγότερες είναι οι πιθανότητες να παραβιαστεί.

 

Πηγές:

Forbes: How To Create A Strong Password/ Διαθέσιμο εδώ.

National TodayWorld Password Day – May 4, 2023/  Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

ChatGPT

ChatGPT: Εργαλείο ή Απειλή της ιδιωτικότητας

Η κυκλοφορία του «ChatGPT» έχει κάνει αισθητή  την παρουσία του σε ποικίλους τομείς. Θέτοντας το δίλημμα σχετικά με το αν η χρήση της εφαρμογής αποτελεί εργαλείο ή απειλή της ιδιωτικότητας των χρηστών.

Τί είναι το ChatGPT;

Το ChatGPT είναι μία εφαρμογή τεχνητής νοημοσύνης, την οποία κυκλοφόρησε η OpenAI, τον Νοέμβριο του 2022. Σκοπός της είναι να διευκολύνει τους χρήστες του Διαδικτύου στις αναζητήσεις τους τόσο από την μηχανή της Google όσο και από άλλες μηχανές αναζήτησης .

Δηλώσεις της OpenAI

OpenAI: «Δημιουργήσαμε ένα μοντέλο που ονομάζεται ChatGPT. Το εν λόγω μοντέλο αλληλεπιδρά με τον χρήστη σε μορφή διαλόγου. Η μορφή διαλόγου επιτρέπει στο ChatGPT να απαντά σε επακόλουθες ερωτήσεις, να παραδέχεται τα λάθη του, να αμφισβητεί λανθασμένες εγκαταστάσεις και να απορρίπτει ακατάλληλα αιτήματα». Επίσης, η OpenAI υποστηρίζει ότι το ChatGPT πληροί όλες τις προϋποθέσεις συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ.

Οι δηλώσεις  στο BBC:

Το OpenAI σε συνέντευξή του στο BBC δήλωσε ότι: Εκατομμύρια άνθρωποι έχουν χρησιμοποιήσει το ChatGPT από τότε που κυκλοφόρησε. Συγκεκριμένα, η εφαρμογή μπορεί να απαντήσει σε ερωτήσεις χρησιμοποιώντας φυσική γλώσσα, ενώ μπορεί να μιμηθεί άλλα στυλ γραφής, χρησιμοποιώντας ως βάση δεδομένων του το Διαδίκτυο όπως ήταν το 2021.

Η Microsoft έχει ξοδέψει δισεκατομμύρια δολάρια σε αυτό και προστέθηκε και στο Bing τον περασμένο μήνα. Ακόμη, θα ενσωματώσει μια έκδοση της στις εφαρμογές του Office, συμπεριλαμβανομένων των Word, Excel, PowerPoint και Outlook.

Οι επιφυλάξεις των Αρχών Προστασίας Δεδομένων

Η Ιταλική Αρχή Προστασίας Δεδομένων έθεσε σε προσωρινή παύση τη λειτουργία του ChatGPT στην Ιταλία. Υποστηρίζει ότι το εργαλείο τεχνητής νοημοσύνης μπορεί να έχει παραβιάσει τον GDPR κατά τη διάρκεια πρόσφατης διαρροής δεδομένων. Η OpenAI έλαβε 20 ημέρες για να αντιμετωπίσει τα ζητήματα απορρήτου, ειδάλλως κινδυνεύει από την επιβολή μεγάλων προστίμων μέχρι και το 4% του ετήσιου τζίρου της.

Αφορμή στάθηκε η πρόσφατη διαρροή δεδομένων στο ChatGPT, κατά την οποία ένα δοκιμαστικό σύστημα αιτημάτων γνωστοποίησε κατά λάθος μέρη συνομιλιών ορισμένων χρηστών σε άλλους. Επιπλέον, μία δυσλειτουργία του ChatGPT εξέθεσε προσωπικές πληροφορίες, συμπεριλαμβανομένων των στοιχείων πληρωμής κάποιων χρηστών.

Η Ιρλανδική Αρχή Προστασίας Δεδομένων παρακολουθεί το ζήτημα με την Ιταλική Αρχή Προστασίας για να κατανοήσει τη βάση της δράσης της και «θα συντονιστεί με όλες τις αρχές προστασίας δεδομένων της ΕΕ» σε σχέση με την απαγόρευση. Η Ανεξάρτητη Ρυθμιστική Αρχή Δεδομένων του Ηνωμένου Βασιλείου, θα «υποστηρίξει» τις εξελίξεις στην τεχνητή νοημοσύνη. Ωστόσο, επιφυλάσσεται να «αμφισβητήσει τη μη συμμόρφωση» με τους νόμους περί προστασίας δεδομένων της εφαρμογής.

Τίθενται ζητήματα σχετικά με τον τρόπο συλλογής των δεδομένων που χρησιμοποιεί η εφαρμογή για να απαντήσει σε ερωτήσεις και τον χρόνο διατήρησης των δεδομένων. Εξίσου σημαντικά είναι τα μέτρα προστασίας που θα  λάβει για τους ανήλικους χρήστες, δεδομένου ότι δεν διαθέτει κανενός είδους σύστημα ελέγχου ηλικίας. Αναγκαίες είναι οι εκτιμήσεις για την παράνομη συλλογή δεδομένων και την έκθεση σε δυνητικά επικίνδυνους διαλόγους – συνομιλίες.

Η άποψη του Michael Rinehart

Ο Michael Rinehart, Αντιπρόεδρος Τεχνητής Νοημοσύνης της εταιρείας Securiti, επισημαίνει ότι η ασφάλεια και η προστασία της ιδιωτικότητας μέσω σχεδιαστικών προσεγγίσεων είναι πιθανώς ο τρόπος για να αναπτυχθεί η τεχνητή νοημοσύνη. Μάλιστα υποστηρίζει ότι: «Η απόφαση της ιταλικής αρχής προστασίας δεδομένων να απαγορεύσει το ChatGPT υπογραμμίζει τη σημασία της υιοθέτησης μιας προσέγγισης με προτεραιότητα το απόρρητο για την εκπαίδευση μοντέλων Generative AI. Το απόρρητο των δεδομένων δεν αποτελεί απλώς μια ανησυχία για το σύστημα δεδομένων. Όπως αποδεικνύεται από τη σειρά των δημοσίως διαθέσιμων επιθέσεων άμεσων μηχανικών κατά του ChatGPT, οι ad-hoc τεχνικές για την προστασία του απορρήτου «εν προτροπή» μπορεί να έχουν εύκολα εκμεταλλεύσιμες αδυναμίες. Παρά τις προκλήσεις, οι επιχειρήσεις μπορούν να αποκομίσουν τα οφέλη του Generative AI, δίνοντας προτεραιότητα στην προστασία του απορρήτου μέσω της σωστής διαχείρισης των δεδομένων τους».

Συμπέρασμα

Η εφαρμογή ChatGPT έχει τη δυνατότητα να ωφελήσει  τη διαδικτυακή  αγορά, ωστόσο υπάρχουν καίρια ζητήματα που πρέπει να επιλυθούν, με σκοπό την ασφαλή χρήση της. Όπως διαπιστώνεται η προστασία των δεδομένων θα πρέπει να αποτελέσει κύριο μέλημα σε ένα τέτοιο εγχείρημα.

 

Πηγές:

BBC: ChatGPT banned in Italy over privacy concerns/ Διαθέσιμο εδώ.

ChatGPT-style tech brought to Microsoft 365/ Διαθέσιμο εδώ.

CPO Magazine: Italian DPA Puts a Temporary Ban on ChatGPT Over Privacy Concerns/ Διαθέσιμο εδώ.

OpenAI: Introducing ChatGPT/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Top