ΤΟ ΠΑΘΗΜΑ – ΜΑΘΗΜΑ ΤΗΣ ΜΕΤΑ

Σε συνέχεια του προστίμου ύψους 405 εκατομμυρίων ευρώ που επιβλήθηκε από την Ιρλανδική Αρχή Προστασίας Δεδομένων  στην εταιρεία Meta για παραβιάσεις δεδομένων που αφορούν το Instagram – το δεύτερο υψηλότερο πρόστιμο  μετά την ποινή της Amazon-, η Εταιρεία αποφάσισε να αυξήσει το επίπεδο των ρυθμίσεων ασφαλείας της και να αναβαθμίσει τις ενημερώσεις απορρήτου της, ώστε να επιτύχει ένα καλύτερο επίπεδο προστασίας.

Πιο συγκεκριμένα, η Meta πρόσφατα ανακοίνωσε ότι εισάγει νέες ενημερώσεις απορρήτου για τους εφήβους στο Instagram και το Facebook. Συγκεκριμένα, θα υπάρχουν πλέον περισσότερες προεπιλεγμένες ρυθμίσεις απορρήτου για όσους χρήστες είναι κάτω των 16 ετών ή κάτω των 18 ετών σε ορισμένες χώρες, από τη στιγμή της εγγραφής τους στις εν λόγω εφαρμογές.

Έτσι, για τους εφήβους που χρησιμοποιούν ήδη την εφαρμογή, το Facebook πρόκειται να τους προτείνει να επιλέγουν περισσότερες ρυθμίσεις απορρήτου όσον αφορά το ποιος μπορεί να δει τις λίστες των φίλων τους, τις αναρτήσεις στις οποίες έχουν προστεθεί με ετικέτα, τα άτομα και τις λίστες που ακολουθούν, καθώς και ποιος επιτρέπεται να σχολιάζει τις δημόσιες αναρτήσεις τους.

Επιπλέον, η Meta, στην προσπάθειά της να δημιουργήσει ένα ασφαλές περιβάλλον για τους εφήβους, τους αποτρέπει πλέον να αποστείλουν μήνυμα σε ύποπτους ενήλικες με τους οποίους δεν είναι συνδεδεμένοι. Ύποπτος λογαριασμός ορίζεται αυτός που ανήκει σε ενήλικα και έχει πρόσφατα αποκλειστεί ή αναφερθεί από νεαρό χρήστη. Στο Facebook, η Meta δεν θα εμφανίζει ύποπτους λογαριασμούς στις συστάσεις των εφήβων ως «Άτομα που ίσως γνωρίζετε». Ακόμη, πρόκειται να καταργήσει το κουμπί αποστολής μηνυμάτων στους λογαριασμούς των εφήβων στο Instagram όταν τους προσεγγίζουν ύποπτοι λογαριασμοί.

Σημαντική, επίσης, είναι η  πρωτοβουλία που παίρνει για να προτρέπει τους νεαρούς χρήστες να αναφέρουν ένα ύποπτο λογαριασμό αφού τον μπλοκάρουν, με την Meta να στέλνει σχετικές ενημερώσεις για την ασφάλειά τους. Μάλιστα, μετά την εφαρμογή του συγκεκριμένου μέτρου, παρατηρήθηκε ότι περισσότεροι από 1 εκατομμύριο χρήστες  έλαβαν ειδοποιήσεις ασφαλείας απευθείας από την Meta. Διευκολύνοντας έτσι την πρόσβαση σε εργαλεία αναφοράς, διαπιστώθηκε στατιστική αύξηση αναφορών από ανήλικους χρήστες σε ποσοστό άνω των 70%, συγκριτικά με τα ποσοστά των τελευταίων μηνών του 2021 και του πρώτου τριμήνου του 2022.

Επιπλέον, η Meta συνεργάζεται με το Εθνικό Κέντρο για Εξαφανισμένα Παιδιά και Παιδιά που έχουν πέσει θύματα εκμετάλλευσης (National Center for Missing and Exploited Children) για τη δημιουργία μιας παγκόσμιας πλατφόρμας για εφήβους που θα προλαμβάνουν την κοινοποίηση ευαίσθητων φωτογραφιών τους σε δημόσιες διαδικτυακές πλατφόρμες χωρίς τη συγκατάθεσή τους. Ο στόχος της πλατφόρμας είναι να βοηθήσει τη Meta να αποτρέψει τη δημοσίευση ευαίσθητων φωτογραφιών ενός εφήβου στο διαδίκτυο. Η πλατφόρμα θα λειτουργεί παρόμοια με το τρέχον σύστημα της Meta που έχει σχεδιαστεί για να αποτρέπει την κοινή χρήση προσωπικών εικόνων από ενήλικες. Η Meta επισημαίνει ότι μόλις κατασκευαστεί η πλατφόρμα, θα μπορεί να χρησιμοποιηθεί από άλλες εταιρείες σε όλη τη βιομηχανία της τεχνολογίας, αν και φυσικά εδώ περαιτέρω ζητήματα προστασίας της ιδιωτικότητας θα πρέπει να λυθούν.

Είναι φανερός επομένως ο διορθωτικός χαρακτήρας του προστίμου που επεβλήθη στην Meta ώστε να την προτρέψει να λάβει σοβαρότερα το ζήτημα της προστασίας της ιδιωτικότητας των ανήλικων χρηστών της και να συμμορφωθεί με το κανονιστικό πλαίσιο. Φυσικά, δεν πρέπει να αμελείται η σημασία της τήρησης των αρχών Privacy by Default και by Design, ούτως ώστε εξ αρχής τα συστήματα και οι εφαρμογές των Εταιρειών να δημιουργούνται με γνώμονα την προστασία των υποκειμένων των δεδομένων.

Instagram: Πρόστιμο 405 εκ. Ευρώ για παραβίαση της ιδιωτικότητας παιδιών

Η Αρχή Προστασίας Δεδομένων της Ιρλανδίας επέβαλε πρόστιμο 405 εκατομμυρίων Ευρώ στο Instagram για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή “GDPR”), οι οποίες επήλθαν ως αποτέλεσμα λάθος χειρισμών των δεδομένων των παιδιών από το Instagram, συμπεριλαμβανομένης μίας δημοσίευσης με διευθύνσεις email και αριθμούς τηλεφώνων παιδιών, σύμφωνα με την Politico.

«Λάβαμε την τελική μας απόφαση την περασμένη Παρασκευή και μέσω αυτής επιβάλλεται πρόστιμο 405 εκατομμυρίων Ευρώ», δήλωσε στην Washington Post ο Graham Doyle, αναπληρωτής Επίτροπος της Ιρλανδικής Αρχής Προστασίας Δεδομένων, προσθέτοντας ότι οι πλήρεις λεπτομέρειες θα ανακοινωθούν την επόμενη εβδομάδα.

Η απόφαση της Ιρλανδικής Αρχής ήταν αποτέλεσμα διετούς έρευνας στους επιχειρηματικούς λογαριασμούς του Instagram, τους λεγόμενους “business accounts”, οι οποίοι παρέχουν στους χρήστες δυνατότητες προηγμένων μετρήσεων για την παρακολούθηση προβολών και likes ενός προφίλ και που πριν το 2019 ήταν επιρρεπείς στη δημοσίευση αριθμών τηλεφώνου και διευθύνσεων email των χρηστών υπό προεπιλεγμένες ρυθμίσεις. Διευκρινίζεται ότι η ελάχιστη ηλικία για τη χρήση του Instagram είναι τα 13 έτη.

Αυτό είναι το δεύτερο υψηλότερο πρόστιμο που επιβάλλεται βάσει του GDPR μετά από αυτό των 746 εκατομμυρίων Ευρώ κατά της Amazon. Αποτελεί επίσης το τρίτο πρόστιμο που επιβάλλεται στο Instagram από την ιρλανδική εποπτική αρχή, ενώ είναι και το υψηλότερο πρόστιμο που έχει επιβληθεί σε εταιρεία που ανήκει στην Meta, μετά από αυτό των 225 εκατομμυρίων Ευρώ στην  WhatsApp και το πρόστιμο των 17 εκατομμυρίων Ευρώ στο Facebook.

«Αυτή η έρευνα επικεντρώθηκε σε παλιές ρυθμίσεις, τις οποίες ενημερώσαμε πριν από περισσότερο από ένα χρόνο και έκτοτε έχουμε κυκλοφορήσει πολλές νέες δυνατότητες για να βοηθήσουμε τους εφήβους να παραμένουν ασφαλείς και οι πληροφορίες τους ιδιωτικές», ανέφερε σε δήλωσή του εκπρόσωπος της Meta, προσθέτοντας ότι η εταιρεία εξετάζει προσεκτικά την απόφαση καθώς και το ενδεχόμενο έφεσης κατά αυτής. «Συνεργαζόμαστε πλήρως με την Ιρλανδική Αρχή καθ’ όλη τη διάρκεια της έρευνάς τους και εξετάζουμε προσεκτικά την τελική απόφασή τους».

Η Ιρλανδική ρυθμιστική Αρχή επέβαλε το πρόστιμο αφού χρειάστηκε να ενεργοποιήσει τον μηχανισμό επίλυσης διαφορών σχετικά με τη συμβολή άλλων ευρωπαϊκών αρχών προστασίας δεδομένων σχετικά με το πρόστιμο.

Τέλος, αξίζει να αναφερθεί ότι η Ιρλανδική Αρχή διεξάγει επί του παρόντος τουλάχιστον έξι ακόμη έρευνες σε εταιρείες που ανήκουν στη Meta, αφού υπό την εποπτεία της Αρχής τελεί ένας μεγάλος αριθμός πολυεθνικών τεχνολογικών κολοσσών, συμπεριλαμβανομένων της Apple, Google, Meta και άλλων εταιρειών που έχουν την E.U. έδρα στην Ιρλανδία.

ΠΡΟΣΤΙΜΟ-ΜΑΜΟΥΘ ΣΤΗΝ TWITTER ΓΙΑ ΠΑΡΑΝΟΜΗ ΠΩΛΗΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΡΗΣΤΩΝ

Είναι γεγονός πως το ύψος των προστίμων που απορρέουν από παραβιάσεις προσωπικών δεδομένων αυξάνεται με μαθηματική ακρίβεια με το πέρας του χρόνου και την ενδυνάμωση των νομοθεσίων προστασίας των δεδομένων. Η αμερικάνικη εταιρεία-κολοσσός Twitter αποτελεί τον τελευταίο θύτη, καθώς σε αυτή επεβλήθη από την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ και το αμερικανικό Υπουργείο Δικαιοσύνης πρόστιμο ύψους 150 εκατομμυρίων δολαρίων για παράνομη πώληση των προσωπικών δεδομένων χρηστών σε διαφημιζόμενες εταιρείες. Ωστόσο, η εξέλιξη αυτή δεν θα έπρεπε να  δημιουργεί ερωτήματα, δεδομένου ότι τα έσοδα του Twitter βασίζονται σε συντριπτικό ποσοστό στις διαφημίσεις που προβάλλονται στην πλατφόρμα.

Πιο συγκεκριμένα, η Επιτροπή κατηγόρησε το Twitter για πώληση αριθμών τηλεφώνων και διευθύνσεων emails 140 εκατομμυρίων χρηστών σε διαφημιζόμενες στην πλατφόρμα εταιρείες. Το ζήτημα ξεκινάει μάλιστα από το 2013 όταν το Twitter ξεκίνησε να ζητά τα τηλέφωνα και άλλα προσωπικά δεδομένα των χρηστών με τη δικαιολογία ότι είναι απαραίτητα για τη διασφάλιση της ασφάλειας των λογαριασμών τους και ότι τα δεδομένα αυτά θα είναι προστατευμένα από οποιονδήποτε τρίτο. Ωστόσο, η αμερικάνικη εταιρεία παρέλειψε να ενημερώσει τα υποκείμενα πως τα προσωπικά τους δεδομένα θα χρησιμοποιούνταν και για διαφημιστικούς σκοπούς. Πρόκειται συνεπώς για άμεση παραβίαση του και των δεσμεύσεων της Twitter, στην οποία με διοικητική εντολή της Επιτροπής FTC το 2011, απαγορεύτηκε στην εταιρεία να παραποιεί τις πρακτικές ασφαλείας και απορρήτου της και να επωφελείται από δεδομένα που συλλέγονται παραπλανητικά από τους χρήστες. Έλαβε χώρα έτσι παράνομη επεξεργασία προσωπικών δεδομένων των χρηστών του Twitter, καθώς δεν ενημερώθηκαν επαρκώς για τους σκοπούς της επικείμενης επεξεργασίας και δεν στοιχειοθετήθηκε η απαιτούμενη νομική βάση.

Μάλιστα, ο επικεφαλής υπεύθυνος ασφάλειας προσωπικών δεδομένων του Twitter, Damien Kieran, αναγνώρισε σε μια ανάρτηση σε σχετικό blog ότι τα προσωπικά στοιχεία των χρηστών «μπορεί να έχουν χρησιμοποιηθεί κατά λάθος για διαφήμιση». Δήλωσε ωστόσο ότι η εταιρεία δεν πουλά πλέον σε διαφημιστές πληροφορίες που συλλέγονται για λόγους ασφαλείας.

«Αν λέτε στους ανθρώπους ότι χρησιμοποιείτε τους αριθμούς τηλεφώνου τους για να προστατεύσετε τους λογαριασμούς τους και στη συνέχεια τους χρησιμοποιείτε για άλλους σκοπούς, τους εξαπατάτε και παραβιάζετε το νόμο», δήλωσε ο Sam Levine, επικεφαλής του Γραφείου Καταναλωτών της FTC σε σχετική συνέντευξη.

Αξίζει τέλος να αναφερθεί οτι η Επιτροπή Κεφαλαιοαγοράς των ΗΠΑ (SEC) είχε αποστείλει επιστολή στον δισεκατομμυριούχο Ελον Μασκ όταν ανακοίνωσε ότι απέκτησε το 9,2% των μετοχών του Twitter, ζητώντας εξηγήσεις γιατί υπέβαλε το σχετικό έγγραφο στην SEC με καθυστέρηση πολλών ημερών και εκτός των ορίων που ορίζονται από τον νόμο, αφού κάτι τέτοιο ενδεχομένως να σχετιζόταν με τη μόχλευση των τιμών των μετοχών. Ο Έλον Μασκ έχει επικρίνει το επιχειρηματικό μοντέλο της πλατφόρμας που βασίζεται ολοκληρωτικά στις διαφημίσεις, ενώ δεσμεύτηκε να διαφοροποιήσει τις πηγές εσόδων του.

ΜΠΟΡΕΙ Η ΑΠΟΥΣΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΝΑ ΟΔΗΓΗΣΕΙ ΣΕ ΕΠΙΒΟΛΗ ΠΡΟΣΤΙΜΟΥ;

Μία πολύ ενδιαφέρουσα απόφαση για την ενάσκηση των δικαιώματα των φυσικών προσώπων όσον αφορά τα προσωπικά τους δεδομένα, εξέδωσε το Ανώτατο Δικαστήριο του Βελγίου. Με την απόφαση αυτή έκρινε πως ένα υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια Εποπτική Αρχή Προστασίας Δεδομένων για κάποια πρακτική επεξεργασίας προσωπικών δεδομένων που παραβιάζει τις διατάξεις του GDPR, ακόμα κι εάν τα προσωπικά δεδομένα του δεν επεξεργάστηκαν ποτέ.

Στην υπό εξέταση υπόθεση, μία Εταιρεία ζήτησε από τους πελάτες της να παρέχουν την ταυτότητά τους (“identity card”) ηλεκτρονικά προκειμένου αυτή να «διαβαστεί» από το λογισμικό της Εταιρείας, με σκοπό οι πελάτες της να αποκτήσουν μια κάρτα επιβράβευσης και να επωφεληθούν από εκπτώσεις στις αγορές τους. Σημειώνεται δε πως δεν παρεχόταν στους πελάτες η δυνατότητα να παρέχουν τα προσωπικά τους δεδομένα με εναλλακτικά μέσα, για παράδειγμα παρέχοντας μόνο τα απολύτως απαραίτητα δεδομένα τους σε έντυπη μορφή ή μέσω email.

Έτσι, ένας πελάτης της Εταιρείας υπέβαλε καταγγελία για την πρακτική αυτή της τελευταίας στην Βελγική Αρχή Προστασίας Δεδομένων (Belgian Data Protection Authority). Ο πελάτης είχε αρνηθεί να παράσχει στην Εταιρεία την ταυτότητά του, ενώ επίσης αρνήθηκε να συγκατατεθεί στην εν λόγω επεξεργασία δεδομένων. Ως εκ τούτου, δεν μπόρεσε να εκδώσει την κάρτα επιβράβευσης.

Κατά την εξέταση της καταγγελίας, η Βελγική Αρχή διαπίστωσε ότι η πρακτική αυτή πράγματι παραβίαζε την αρχή της ελαχιστοποίησης των δεδομένων του άρθρου 5 του GDPR, σύμφωνα με την οποία οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζεται σε ό,τι είναι απαραίτητο για την επίτευξη των σχετικών σκοπών. Ωστόσο, παλαιότερα, το δευτεροβάθμιο Δικαστήριο του Βελγίου είχε αποφανθεί ότι δεν θα μπορούσε να αποδειχθεί παραβίαση προσωπικών δεδομένων, με το σκεπτικό ότι ο πελάτης δεν είχε προσκομίσει καν τα προσωπικά του δεδομένων, εδώ την ταυτότητά του, και ως εκ τούτου δεν είχε πραγματοποιηθεί επεξεργασία των προσωπικών του δεδομένων.

Το Ανώτατο Δικαστήριο του Βελγίου ωστόσο δεν ακολούθησε την αιτιολόγηση του δευτεροβάθμιου. Αντιθέτως, τόνισε ότι μία παραβίαση προσωπικών δεδομένων μπορεί να επέλθει ακόμα κι όταν ο Υπεύθυνος Επεξεργασίας απαιτεί από τα υποκείμενα των δεδομένων να χορηγήσουν τα προσωπικά τους δεδομένα με σκοπό αυτά να επεξεργαστούν με τρόπο αντίθετο με τις απαιτήσεις προστασίας του GDPR, προκειμένου να επωφεληθούν από μία υπηρεσία. Συνεπώς, όταν η Αρχή Προστασίας Δεδομένων κρίνει ότι μια πρακτική οδηγεί σε παραβίαση δεδομένων, μπορεί να λάβει διορθωτικά μέτρα και –όπου ενδείκνυται– να επιβάλει διοικητικό πρόστιμο, ακόμη και αν τα προσωπικά δεδομένα του καταγγέλλοντα δεν υποβλήθηκαν ποτέ σε πραγματική επεξεργασία.

Η απόφαση αυτή φαίνεται να ακολουθεί τη συνολική λογική και το πνεύμα του GDPR, ο οποίος δεν επιδιώκει μόνο την προστασία των προσωπικών δεδομένων, αλλά και τη δημιουργία ενός σταθερού νομικού πλαισίου εντός του οποίου τα υποκείμενα των δεδομένων διαθέτουν τον έλεγχο των προσωπικών τους δεδομένων, χωρίς δυσάρεστες συνέπειες.

Top